Apple针对尚在支持范围内的旧版操作系统,包括iOS与iPadOS 15.8.4、16.7.11,以及macOSSonoma 14.7.5、Ventura 13.7.5等发布安全更新,修补三个已被积极利用的零时差漏洞。Apple证实这些漏洞已遭用于针对性极高、技术成熟的攻击行动,目标为特定个人用户。
其中,CVE-2025-24200是一个与实体访问有关的权限处理问题,允许攻击者在未经授权的情况下,在设备锁定时关闭USB限制模式,该模式原为保护iOS设备在未解锁状态下,不被外部USB配件访问敏感数据。Apple解释,此漏洞与授权状态管理机制不全有关,并已通过改善状态管理进行修补。
另一项修补的漏洞为CVE-2025-24201,存在于Apple的WebKit网页引擎中,该组件为Safari以及多数第三方App所共享。攻击者可通过特定的网页内容,触发内存越界写入行为,成功后有机会逃脱网页内容沙箱,进而执行未授权动作。Apple指出,此项更新为对iOS 17.2中先前修补措施的补强,针对的是使用早期版本的设备。
Apple修补的第三个零时差漏洞CVE-2025-24085,则是影响macOS平台。攻击者可利用恶意应用程序,在未经用户知情同意的情况下,访问系统中的敏感资讯,包括行程表数据。此问题同样已被Apple标记为遭积极利用,这次一并对macOS Sonoma、Ventura进行修补。
这波更新显示,旧版操作系统在针对性攻击中仍存在高度风险,容易成为攻击者锁定的目标,Apple建议所有使用受影响系统的用户尽快更新,开发者与系统管理人员可通过Apple安全更新篇章面查阅完整的修补清单与CVE编号,评估其在产品开发与企业环境中的风险。
