苹果为CVE-2025-43300漏洞回溯修复补丁，该漏洞曾被用于复杂的间谍软件攻击

苹果公司周一回溯修复了一个近期已修补但仍在野外被积极利用的安全漏洞。

所涉及的漏洞为CVE-2025-43300（CVSS评分：8.8），这是ImageIO组件中的一个越界写入问题，在处理恶意图像文件时可能导致内存损坏。

该公司表示：“苹果公司已获悉有报告称，这一问题可能已在针对特定目标人员的一次极为复杂的攻击中被利用。”

从那以后，WhatsApp已经承认，其适用于苹果iOS和macOS的 messaging 应用中存在一个漏洞（CVE-2025-55177，CVSS评分：5.4），该漏洞与CVE-2025-43300被串联利用，成为针对不到200人的高度定向间谍软件攻击的一部分。

尽管苹果公司上月末发布的iOS 18.6.2、iPadOS 18.6.2、iPadOS 17.7.10、macOS Ventura 13.7.8、macOS Sonoma 14.7.8和macOS Sequoia 15.6.1首次解决了这一缺陷，但该修复也已针对以下旧版本推出——

• iOS 16.7.12 和 iPadOS 16.7.12 – iPhone 8、iPhone 8 Plus、iPhone X、第5代iPad、9.7英寸iPad Pro和第1代12.9英寸iPad Pro
• iOS 15.8.5和iPadOS 15.8.5 – iPhone 6s（所有机型）、iPhone 7（所有机型）、iPhone SE（第1代）、iPad Air 2、iPad mini（第4代）以及iPod touch（第7代）

这些更新与iOS 26、iPadOS 26、iOS 18.7、iPadOS 18.7、macOS Tahoe 26、macOS Sequoia 15.7、macOS Sonoma 14.8、tvOS 26、visionOS 26、watchOS 26、Safari 26以及Xcode 26一同推出，它们还修复了许多其他安全漏洞——

• CVE-2025-31255 – IOKit中的一个授权漏洞，可能允许应用访问敏感数据
• CVE-2025-43362 – LaunchServices中的一个漏洞，可能允许应用程序在未经用户许可的情况下监控按键操作
• CVE-2025-43329 – 沙盒中存在一个权限漏洞，可能允许应用程序突破其沙盒限制
• CVE-2025-31254 – Safari中的一个漏洞，在处理恶意构造的网页内容时可能导致意外的URL重定向
• CVE-2025-43272 – WebKit中的一个漏洞，在处理恶意制作的网页内容时可能导致Safari意外崩溃
• CVE-2025-43285 – AppSandbox中存在一个权限漏洞，可能允许应用访问受保护的用户数据
• CVE-2025-43349 – CoreAudio中存在一个越界写入问题，在处理恶意构造的视频文件时可能导致应用程序意外终止
• CVE-2025-43316 – DiskArbitration中的一个权限漏洞，可能允许应用获取root权限
• CVE-2025-43297 – 电源管理中存在的类型混淆漏洞可能导致拒绝服务
• CVE-2025-43204 – RemoteViewServices中存在一个漏洞，可能允许应用程序突破其沙箱限制
• CVE-2025-43358 – 快捷指令中的一个权限漏洞，可能允许快捷指令绕过沙箱限制
• CVE-2025-43333 – Spotlight中的一个权限漏洞，可能允许应用获取 root 权限
• CVE-2025-43304 – StorageKit中的竞争条件漏洞可能允许应用获取 root 权限
• CVE-2025-48384 – Xcode中的一个Git漏洞，在克隆恶意构造的仓库时可能导致远程代码执行

虽然没有证据表明上述任何漏洞已在现实世界的攻击中被武器化，但保持系统更新以获得最佳保护始终是一个好习惯。