官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
漏洞背景与危害
苹果公司本周一向旧版系统回溯修复了一个已被野外利用的安全漏洞。该漏洞编号为CVE-2025-43300(CVSS评分:8.8),是ImageIO组件中的越界写入问题,处理恶意图像文件可能导致内存损坏。苹果公司表示:"我们已收到报告,该漏洞可能被用于针对特定目标个人的高度复杂攻击。"
攻击链分析
WhatsApp随后确认,其苹果iOS和macOS版消息应用中的漏洞(CVE-2025-55177,CVSS评分:5.4)与CVE-2025-43300形成攻击链,被用于针对不到200人的精准间谍软件攻击。
受影响版本与补丁发布
虽然苹果上月底已通过以下版本首次修复该漏洞:
- iOS 18.6.2和iPadOS 18.6.2
- iPadOS 17.7.10
- macOS Ventura 13.7.8
- macOS Sonoma 14.7.8
- macOS Sequoia 15.6.1
但本次更新还覆盖以下旧版本:
- iOS 16.7.12和iPadOS 16.7.12:iPhone 8、iPhone 8 Plus、iPhone X、第五代iPad、9.7英寸iPad Pro和第一代12.9英寸iPad Pro
- iOS 15.8.5和iPadOS 15.8.5:iPhone 6s(所有型号)、iPhone 7(所有型号)、第一代iPhone SE、iPad Air 2、第四代iPad mini和第七代iPod touch
同期修复的其他安全漏洞
本次更新随以下系统版本一同发布,还修复了多个其他安全漏洞:
- CVE-2025-31255:IOKit授权漏洞,可能导致应用访问敏感数据
- CVE-2025-43362:LaunchServices漏洞,可能导致应用未经许可监控键盘输入
- CVE-2025-43329:沙箱权限漏洞,可能导致应用突破沙箱限制
- CVE-2025-31254:Safari漏洞,处理恶意构造的网页内容可能导致意外URL重定向
- CVE-2025-43272:WebKit漏洞,处理恶意构造的网页内容可能导致Safari意外崩溃
- CVE-2025-43285:AppSandbox权限漏洞,可能导致应用访问受保护的用户数据
- CVE-2025-43349:CoreAudio越界写入问题,处理恶意构造的视频文件可能导致应用意外终止
- CVE-2025-43316:DiskArbitration权限漏洞,可能导致应用获取root权限
- CVE-2025-43297:电源管理类型混淆漏洞,可能导致拒绝服务
- CVE-2025-43204:RemoteViewServices漏洞,可能导致应用突破沙箱限制
- CVE-2025-43358:快捷指令权限漏洞,可能导致快捷指令绕过沙箱限制
- CVE-2025-43333:Spotlight权限漏洞,可能导致应用获取root权限
- CVE-2025-43304:StorageKit竞争条件漏洞,可能导致应用获取root权限
- CVE-2025-48384:Xcode的Git漏洞,克隆恶意构造的代码库可能导致远程代码执行
安全建议
虽然目前没有证据表明上述漏洞已被用于实际攻击,但保持系统更新始终是最佳防护实践。
参考来源:
Apple Backports Fix for CVE-2025-43300 Exploited in Sophisticated Spyware Attack
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)