苹果发布iOS 26.2版修复多个高危安全漏洞 包括可能允许应用获得root权限的漏洞
苹果发布 iOS 26.2 版修复多个高危安全漏洞,包括可能允许应用获得 root 权限的漏洞。不过可被获取 root 权限的漏洞未被利用,而 WebKit 中的两个漏洞已经遭到黑客利用,这大概率又是间谍软件发现漏洞后用于针对高价值目标发起攻击。
苹果公司在当地时间 12 月 12 日发布 iOS 26.2 版更新用于修复多个高危级别的安全漏洞,其中部分漏洞已经遭到黑客的积极利用,苹果提醒用户尽快升级到最新版以确保安全性。
此次修复的漏洞数量非常多,涉及到 JPEG 编解码库、通话记录、CURL、内核、FaceTime、WebKit 等等,内核中的 CVE-2025-46285 漏洞可能允许应用程序获得 root 权限。
对 Linux/Unix 系统来说获得 root 权限相当于获得完整的管理权,可以用来执行各种高权限操作,例如可以绕过沙盒、读取信息、通过内存获取机密信息、安装恶意应用实现监控等。
好消息是至少这个漏洞目前还没有被发现遭到利用,而 WebKit 中的漏洞属于已经遭到利用的漏洞,这些漏洞被黑客用于构造复杂的钓鱼网站并触发内存损坏,进而执行更多攻击。
WebKit 中的漏洞分别是 CVE-2025-43529/14174,漏洞由苹果和谷歌威胁情报小组发现并提交,苹果给出的官方描述如下:处理恶意构造的网页内容时可能会导致内存损坏,苹果已经注意到有报告称该漏洞已被用于针对特定目标用户的极其复杂的攻击,攻击目标为 iOS 26 之前的版本。
通常情况下这类攻击都是间谍软件团伙发掘或购买的漏洞并用于针对高价值目标,WebKit 中的漏洞影响的主要是 Safari 等浏览器,所以攻击者可以向目标用户发送钓鱼网站诱导用户点击进而发起攻击。
至于苹果为什么强调攻击者针对的是 iOS 26 之前的版本,或许是 iOS 26 还有其他的安全措施可以抵御攻击,亦或者是间谍软件需要其他漏洞配合才能展开攻击,而相关漏洞在 iOS 26 中不可用。
除了 iOS 26.2 版外,苹果还为无法升级到 iOS 26 的设备提供 iOS 18.7.3 更新,所以如果你在使用 iOS 18.x 版也应该检查系统更新升级到最新版。
此次修复的漏洞数量非常多,涉及到 JPEG 编解码库、通话记录、CURL、内核、FaceTime、WebKit 等等,内核中的 CVE-2025-46285 漏洞可能允许应用程序获得 root 权限。
对 Linux/Unix 系统来说获得 root 权限相当于获得完整的管理权,可以用来执行各种高权限操作,例如可以绕过沙盒、读取信息、通过内存获取机密信息、安装恶意应用实现监控等。
好消息是至少这个漏洞目前还没有被发现遭到利用,而 WebKit 中的漏洞属于已经遭到利用的漏洞,这些漏洞被黑客用于构造复杂的钓鱼网站并触发内存损坏,进而执行更多攻击。
WebKit 中的漏洞分别是 CVE-2025-43529/14174,漏洞由苹果和谷歌威胁情报小组发现并提交,苹果给出的官方描述如下:处理恶意构造的网页内容时可能会导致内存损坏,苹果已经注意到有报告称该漏洞已被用于针对特定目标用户的极其复杂的攻击,攻击目标为 iOS 26 之前的版本。
通常情况下这类攻击都是间谍软件团伙发掘或购买的漏洞并用于针对高价值目标,WebKit 中的漏洞影响的主要是 Safari 等浏览器,所以攻击者可以向目标用户发送钓鱼网站诱导用户点击进而发起攻击。
至于苹果为什么强调攻击者针对的是 iOS 26 之前的版本,或许是 iOS 26 还有其他的安全措施可以抵御攻击,亦或者是间谍软件需要其他漏洞配合才能展开攻击,而相关漏洞在 iOS 26 中不可用。
除了 iOS 26.2 版外,苹果还为无法升级到 iOS 26 的设备提供 iOS 18.7.3 更新,所以如果你在使用 iOS 18.x 版也应该检查系统更新升级到最新版。
关于作者
评论0次