摘要:苹果公司近日发布两项系统更新,用于修复ImageIO框架中一个可能已被用于定向攻击的零日漏洞(zero-day vulnerability)。编号为CVE-2025-43300的漏洞在iOS 16.7.12和iPadOS 16.7.12版本中得到修复,该漏洞可
苹果公司近日发布两项系统更新,用于修复ImageIO框架中一个可能已被用于定向攻击的零日漏洞(zero-day vulnerability)。编号为CVE-2025-43300的漏洞在iOS 16.7.12和iPadOS 16.7.12版本中得到修复,该漏洞可能导致苹果手机在处理恶意文件时出现内存损坏。Part01高危漏洞无缓解措施苹果在周一发布的安全公告中指出,该漏洞源于越界写入(out-of-bounds write)问题。这家iPhone制造商表示:"苹果已收到报告,该漏洞可能已被用于针对特定个体的高度复杂攻击。"由于缺乏临时解决方案,苹果建议所有用户立即安装iOS 16.7.12和iPadOS 16.7.12更新。此次更新覆盖新旧款iPhone、iPad及相关设备,包括未运行最新版操作系统的机型。鉴于该漏洞可能已被实际利用,苹果特别警告所有用户(尤其是旧机型持有者)应立即安装补丁。Part02补丁向后兼容旧设备CVE-2025-43300漏洞被评定为严重级别(CVSS评分8.8/10),苹果已于上月通过iOS 18.6.2和iPadOS 18.6.2进行修复。本周一,鉴于活跃攻击报告,苹果将该补丁扩展到更早的生命周期终止(EOL)版本。受影响的ImageIO框架是iOS/iPadOS应用中负责读写和处理图像的核心组件。当系统处理特定恶意图像文件时,由于现有边界验证不足,会导致越界写入操作。苹果表示修复方案已通过改进框架边界检查机制来解决此问题。此次获得16.7.12更新的设备包括iPhone 8/8 Plus/X、第五代iPad及早期iPad Pro机型。虽然苹果未公开攻击技术细节,但此类漏洞利用通常出现在"水坑攻击"(Watering-hole)、"鱼叉式钓鱼"(spear-phishing)或其他针对高风险个体的图像投递攻击中。Part03攻击者转向核心图像服务攻击者似乎正将目标转向核心系统软件中的图像处理模块,而非明显的网络服务或应用。上周三星修复的libimagecodec.quram.so图像库高危漏洞(CVE-2025-21043)就允许通过特制图像实现零交互远程代码执行。由于图像解析框架深度集成于设备各项功能(从信息处理到媒体库),此类漏洞可潜伏在看似无害的操作中。安全专家建议用户不仅需要更新手机和平板,还应升级所有使用ImageIO或同类图像处理模块的关联设备。鉴于ImageIO属于核心框架且无法禁用或替换,安装更新是唯一有效的缓解措施。2025年至今苹果已修复8个零日漏洞,超过2024年全年总数(6个)。一年前该公司曾修复包括CVE-2023-32434和CVE-2023-32435在内的20个漏洞,这些漏洞据称被用于针对俄罗斯的"三角测量行动"间谍活动。参考来源:
Apple patches critical zero-day in ImageIO amid reports of targeted exploits
https://www.csoonline.com/article/4058589/apple-patches-critical-zero-day-in-imageio-amid-reports-of-targeted-exploits.html
电台讨论
来源:FreeBuf
免责声明:本站系转载,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题,请在30日内与本站联系,我们将在第一时间删除内容!