苹果修复旧款iPhone和iPad中的零日漏洞

苹果公司于2025年9月15日发布了iOS 16.7.12和iPadOS 16.7.12，为老款设备带来了重要的安全更新。

这些补丁解决了ImageIO框架中的一个零日漏洞，该漏洞可能允许攻击者通过诱使用户处理恶意图像文件来执行任意代码。

苹果公司证实已意识到一种针对特定人群的复杂漏洞利用，强调了立即安装（更新）的重要性。

1. iOS/iPadOS 16.7.12 版本修复了 CVE-2025-43300 漏洞，该漏洞是 ImageIO 组件中的一处零日漏洞。

   （说明：“ImageIO” 是苹果系统中负责处理图像读取、写入与解析的核心组件；“zero-day” 即 “零日漏洞”，指已被发现但厂商发布修复补丁前就可能被利用的安全漏洞，CVE-2025-43300 是该漏洞的唯一标识编号。）

2. 在针对性攻击中，恶意图像可触发（设备）执行任意代码。

   （说明：“arbitrary code execution” 即 “任意代码执行”，指攻击者能让目标设备运行其指定的恶意代码，进而控制设备、窃取数据等；“targeted attacks” 指 “针对性攻击”，通常是攻击者针对特定群体或设备发起的精准攻击，而非大规模泛发攻击。）

3. 请立即为 iPhone 8、iPhone X 及早期型号的 iPad 设备安装更新。

   （说明：“early iPads” 指发布时间早于特定型号的 iPad 设备，此处与 iPhone 8、iPhone X 并列，表明这些旧款苹果设备需优先更新以修复漏洞；“now” 强调更新的紧迫性，避免漏洞被利用导致设备受攻击。）

ImageIO中的越界写入（CVE-2025-43300）

此次更新修复了CVE-2025-43300漏洞，这是iPhone 8、iPhone 8 Plus、iPhone X、第五代iPad、9.7英寸iPad Pro以及第一代12.9英寸iPad Pro上ImageIO组件中存在的一个越界写入问题。

当ImageIO未能正确验证图像文件边界时，就会出现此漏洞，这可能导致内存损坏。攻击者通过电子邮件、网页链接或消息应用发送特制图像，就可能触发该漏洞，并获得内核级别的代码执行权限。

苹果通过改进边界检查来降低这种风险，在处理前有效地清理图像元数据并验证缓冲区长度。

这种漏洞利用的复杂性表明，它被用于高度针对性的攻击中，威胁行为者通过合法的通信渠道传递恶意载荷。

由于这一漏洞影响的设备已不再符合完整iOS 17支持的条件，苹果将补丁反向移植到iOS 16.7.12和iPadOS 16.7.12，这体现了其为老旧硬件提供安全保障的承诺。

苹果的安全更新

对于iOS 16.7.12和iPadOS 16.7.12，重点仍然是防止可能破坏系统完整性的恶意图像处理攻击。

强烈建议用户立即更新他们的设备。要安装iOS 16.7.12或iPadOS 16.7.12，请进入“设置”>“通用”>“软件更新”，然后按照屏幕上的说明操作。

管理多台设备的管理员可以通过移动设备管理（MDM）解决方案部署更新。

苹果公司还提醒用户，第三方软件参考信息的提供并不代表其认可，对于非苹果产品，用户应咨询相应的供应商。

安全专业人员可以查看苹果产品安全页面，获取一般指导和最佳实践。

通过主动发布这一补丁，苹果公司为老旧设备抵御了当前的零日威胁，确保即便是较旧的硬件也能对不断演变的攻击技术保持抵御能力。