蘋果最近發(fā)布了一系列緊急安全更新，旨在修復(fù)WebKit跨平臺網(wǎng)頁瀏覽器引擎中的一個(gè)零日漏洞，該漏洞被標(biāo)識為CVE-2025-24201。這個(gè)漏洞涉及越界寫入問題，攻擊者可以通過制作惡意的網(wǎng)頁內(nèi)容來利用該漏洞，從而突破Web Content沙箱的限制。蘋果在iOS 17.2版本中已成功阻止了類似攻擊，此次更新是對該漏洞的進(jìn)一步修補(bǔ)。

漏洞的嚴(yán)重性及應(yīng)對措施

蘋果在官方公告中表示：“惡意制作的網(wǎng)頁內(nèi)容可能會突破Web Content沙箱的限制。這是在iOS 17.2中已阻止的攻擊的一個(gè)補(bǔ)充修復(fù)。蘋果已知悉有報(bào)告稱，該漏洞可能在針對iOS 17.2之前版本的極其復(fù)雜攻擊中被利用，攻擊目標(biāo)為特定個(gè)人。”

為修復(fù)這一漏洞，蘋果增強(qiáng)了相關(guān)檢查機(jī)制，并發(fā)布了iOS 18.3.2、iPadOS 18.3.2、macOS Sequoia 15.3.2、visionOS 2.3.2和Safari 18.3.1等更新版本。該漏洞影響的設(shè)備包括：iPhone XS及后續(xù)機(jī)型、iPad Pro 13英寸及后續(xù)機(jī)型、iPad Pro 12.9英寸（第三代及后續(xù)機(jī)型）、iPad Pro 11英寸（第一代及后續(xù)機(jī)型）、iPad Air（第三代及后續(xù)機(jī)型）、iPad（第七代及后續(xù)機(jī)型）、iPad mini（第五代及后續(xù)機(jī)型）、運(yùn)行macOS Sequoia的Mac以及Apple Vision Pro。

2025年已修復(fù)的其他零日漏洞

CVE-2025-24201是蘋果在2025年修復(fù)的第三個(gè)零日漏洞。以下是蘋果今年修復(fù)的其他零日漏洞：

• 2025年1月 - CVE-2025-24085 - 該漏洞是影響Core Media框架的權(quán)限提升漏洞。
• 2025年2月 - CVE-2025-24200 - 攻擊者可能利用該漏洞在鎖定設(shè)備上禁用USB限制模式。蘋果的USB限制模式是iOS 11.4.1中引入的一項(xiàng)安全功能，旨在通過Lightning端口保護(hù)設(shè)備免受未經(jīng)授權(quán)的訪問。

盡管蘋果已修復(fù)了這些漏洞，但公司并未透露具體的攻擊細(xì)節(jié)，也未將其歸因于任何特定威脅行為者。用戶應(yīng)盡快更新設(shè)備系統(tǒng)，以確保安全。