蘋果公司發(fā)布緊急安全公告，披露編號為CVE-2025-24200、CVE-2025-24201和CVE-2025-24085的三處高危零日漏洞正被用于復(fù)雜網(wǎng)絡(luò)攻擊。這些漏洞影響iPhone、iPad、Mac等多款蘋果設(shè)備，用戶應(yīng)立即更新系統(tǒng)以規(guī)避安全風(fēng)險。

正被利用的高危漏洞詳情

(1) CVE-2025-24200：USB限制模式繞過漏洞

首個漏洞CVE-2025-24200屬于授權(quán)缺陷，攻擊者可通過物理接觸繞過鎖定設(shè)備的USB限制模式。蘋果在公告中指出，該漏洞"可能已被用于針對特定目標(biāo)人物的高度復(fù)雜攻擊"。

該漏洞由多倫多大學(xué)蒙克學(xué)院公民實(shí)驗室的Bill Marczak發(fā)現(xiàn)并報告。攻擊者可利用此漏洞在設(shè)備鎖定時關(guān)閉USB限制模式——這項自iOS 11.4.1引入的安全功能原本可阻止設(shè)備在一小時內(nèi)未解鎖時與配件通信，是防范取證工具的關(guān)鍵防護(hù)措施。

(2) CVE-2025-24201：WebKit沙箱逃逸漏洞

第二個漏洞CVE-2025-24201存在于Safari瀏覽器引擎WebKit中，該越界寫入漏洞可使惡意網(wǎng)頁內(nèi)容突破Web內(nèi)容沙箱限制。蘋果表示這是"對iOS 17.2已攔截攻擊的補(bǔ)充修復(fù)"，并確認(rèn)"可能已在針對iOS 17.2之前版本用戶的復(fù)雜攻擊中被利用"。

(3) CVE-2025-24085：CoreMedia權(quán)限提升漏洞

第三個零日漏洞CVE-2025-24085是CoreMedia組件中的釋放后使用（use-after-free）漏洞，該框架負(fù)責(zé)管理蘋果產(chǎn)品的音視頻播放功能。蘋果警告稱"惡意應(yīng)用可能借此提升權(quán)限"，影響范圍涵蓋iOS、iPadOS、macOS、watchOS和tvOS等多款操作系統(tǒng)，主要針對iOS 17.2之前的舊版本系統(tǒng)。

漏洞信息匯總?cè)缦拢?/p>

修復(fù)方案

蘋果已為各操作系統(tǒng)發(fā)布補(bǔ)?。?/p>

• iPhone/iPad：升級至iOS 18.3/iPadOS 18.3或更高版本
• Mac：安裝macOS Sequoia 15.3或更高版本
• Apple Watch：更新至watchOS 11.3
• Apple TV：升級至tvOS 18.3
• Apple Vision Pro：安裝visionOS 2.3更新

更新步驟：

• 進(jìn)入設(shè)置 > 通用 > 軟件更新
• 建議開啟自動更新功能

防護(hù)建議

• 避免安裝不可信應(yīng)用或內(nèi)核擴(kuò)展
• 在兼容設(shè)備上啟用鎖定模式以縮減攻擊面
• 定期檢查并立即安裝系統(tǒng)更新

這些零日漏洞的發(fā)現(xiàn)表明針對蘋果生態(tài)系統(tǒng)的網(wǎng)絡(luò)攻擊正變得日益復(fù)雜。雖然蘋果的快速響應(yīng)體現(xiàn)了其對用戶安全的重視，但用戶仍需保持警惕，及時更新設(shè)備并遵循網(wǎng)絡(luò)安全最佳實(shí)踐。