Apple 已在其整个生态系统中发布紧急安全更新,以解决 CVE-2025-43300,这是 ImageIO 框架中的一个严重零日漏洞,已被积极利用在复杂的针对性攻击中。
这是苹果在 2025 年修补的第七个零日漏洞,凸显了 iOS 和 macOS 设备面临的持续且不断升级的威胁形势。
该漏洞被添加到 CISA 的已知被利用漏洞 (KEV) 目录中,修复截止日期为 2025 年 9 月 11 日,强调了它给组织和个人用户带来的紧迫运营风险。
漏洞利用机制
CVE-2025-43300 是一个影响 Apple ImageIO 框架的越界写入漏洞,专门针对 Adobe DNG(数字负片)文件的 JPEG 无损解码逻辑。
该漏洞源于 TIFF 子目录中的元数据声明与 JPEG SOF3(第 3 帧开始)标记中的实际组件计数之间的严重不一致。
该漏洞利用机制涉及仅纵合法 DNG 文件中的两个字节,以造成危险的元数据不匹配。
安全研究人员已经证明,通过在偏移0x2FD00将 TIFF SubIFD 中的 SamplesPerPixel 值从 1 修改为 2,同时在偏移0x3E40B将 SOF3 组件计数从 2 更改为 1,攻击者可以在图像处理过程中触发内存损坏。
当 Apple 的 DNG 解码器处理此格式错误的文件时,它会根据 SamplesPerPixel 元数据(需要 2 个组件)分配内存,但根据 SOF3 组件计数(仅 1 个组件)处理数据,从而导致堆缓冲区溢出,从而实现任意代码执行。
当设备通过 iMessage、电子邮件附件、AirDrop 传输或 Web 内容处理恶意图像时,这种零点击漏洞会自动发生。
攻击复杂性和实施
苹果将这些攻击描述为“极其复杂”,针对“特定个人”,表明具有强大技术能力的高级威胁行为者的参与。
该漏洞的利用需要深入了解 ImageIO 框架和 DNG 文件格式规范,这表明攻击者拥有广泛的逆向工程专业知识和资源。
安全研究员 b1n4r1b01 发布的概念验证代码展示了该漏洞的可重复性,展示了内存损坏如何在 Apple 的 RawCamera.bundle 组件中表现出来。
已经开发了 ELEGANT BOUNCER 等检测工具,通过验证 TIFF 元数据和 JPEG 流参数之间的一致性来识别利用企图。
iOS 漏洞的历史背景
与之前具有明确商业间谍软件归因的 iOS 零点击漏洞不同,CVE-2025-43300 带来了重大的归因挑战。
苹果公司尚未提供有关攻击组织或目标受害者的具体细节,限制了公众对威胁行为者身份和动机的了解。
这与 BLASTPASS 和 FORCEDENTRY 等有据可查的活动形成鲜明对比,这些活动与 NSO Group 的 Pegasus 间谍软件作有明确的联系。
该攻击的复杂性,加上其高度针对性的部署,表明民族国家行为者或高级商业间谍软件开发人员参与其中。
然而,缺乏具体的归因证据使安全专业人员的威胁形势评估和防御规划变得复杂。
iOS 零点击攻击的历史进展揭示了苹果的安全改进和对手能力之间不断升级的军备竞赛。
三角测量行动(2019-2023 年)通过利用苹果 A12-A16 处理器中未记录的硬件功能,展示了前所未有的技术复杂性,需要对芯片架构有深入的了解,而“除了苹果和芯片供应商之外,很少有人”能够具备。
NSO Group 的 FORCEDENTRY 漏洞展示了卓越的创新,它使用 JBIG2 位图作在 iOS 内存中构建“虚拟计算机”,创建逻辑门和计算电路以绕过 Apple 的 BlastDoor 保护。
这种技术被 Google Project Zero 描述为“我们见过的技术最复杂的漏洞之一”,将商业间谍软件的能力提升到了与民族国家行动相媲美的能力。
BLASTPASS 通过 PassKit 附件利用 WebP 图像漏洞,规避了 Apple 的安全改进,同时保持了对监控作至关重要的零交互要求,进一步展示了零点击攻击的演变。
商业间谍软件和民族国家联系
NSO Group 已成为占主导地位的商业间谍软件提供商,Pegasus 部署在全球 60 个国家/地区的至少 40 个政府机构中。
这家以色列公司的商业模式需要政府批准所有出口,因为根据以色列法律,飞马被归类为武器。该监管框架创建了一个受控市场,NSO 有选择地向授权政府客户提供高级监控功能。
最近的法律发展对 NSO 的运营产生了重大影响,美国联邦法院认定该公司在 WhatsApp 的诉讼中违反了《计算机欺诈和滥用法》。
这一裁决是商业间谍软件公司首次在美国法院被追究责任,可能为未来针对监控技术供应商的诉讼开创先例。
NSO Group 的 Pegasus 平台已从 2016 年需要用户交互(基于点击的漏洞利用)发展到 2020 年复杂的零点击功能。
该间谍软件的技术功能包括全面的设备入侵,能够收集消息、通话、照片、位置数据和实时麦克风/摄像头访问。
Pegasus 活动的目标模式表明,他们始终关注高价值个人,包括记者、人权活动家、持不同政见者和政府官员。
这种目标方法与 CVE-2025-43300 报告的针对“特定目标个人”的使用一致,表明高级威胁行为者之间存在类似的作优先事项。
安全建议
组织和个人必须优先考虑在所有 Apple 设备上立即修补到 iOS 18.6.2、iPadOS 18.6.2 和相应的 macOS 版本。
该漏洞被确认的主动利用使紧迫性超出了标准补丁管理时间表,特别是对于新闻、激进主义和政府部门的高风险用户而言。
Apple 的锁定模式提供了针对复杂的零点击攻击的额外保护,尽管它会显着限制设备功能。对于面临更高威胁级别的用户,启用此功能可以增强安全性,但会牺牲用户体验。
来自商业间谍软件和民族国家行为者的持续威胁需要超越传统漏洞管理的自适应防御策略。
组织应对图像处理异常实施增强的监控,部署高级端点检测和响应 (EDR) 解决方案,并维护当前专注于移动设备利用的威胁情报源。
鉴于零点击攻击的隐身特性,主动威胁搜寻变得至关重要,要求安全团队分析设备行为模式、网络通信和系统完整性指标,这些指标可能会在传统安全工具检测到恶意活动之前揭示漏洞。
CVE-2025-43300 体现了移动设备威胁的持续演变,老练的对手利用复杂的技术漏洞来实现持续监控能力。
该漏洞的技术复杂性,加上其与商业间谍软件和民族国家网络行动的更广泛格局的集成,凸显了解决技术漏洞和作威胁模型的全面移动安全策略的至关重要性。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
