CVE-2025-24201 漏洞

通过Mezo在漏洞

翻译为：

苹果公司宣布发布一个关键安全更新，以修复零日漏洞 CVE-2025-24201。该漏洞已被积极利用于“极其复杂”的攻击中，影响 WebKit Web 浏览器引擎。该问题涉及越界写入漏洞，可能允许攻击者绕过 Web 内容沙箱，从而可能危及设备安全。

CVE-2025-24201：技术细节

CVE-2025-24201 漏洞被归类为越界写入，这种漏洞使攻击者能够制作能够执行未经授权操作的不安全 Web 内容。通过利用此问题，攻击者可能会突破 WebKit 沙盒并控制受影响的设备。Apple 对此作出了回应，实施了改进的安全检查，以防止发生这些未经授权的操作。此补丁还可以作为对 iOS 17.2 中阻止的早期攻击的补充修复。

针对性攻击中的主动利用

苹果承认，该漏洞可能被利用于针对特定个人的极为复杂的攻击中。不过，该公司尚未披露攻击来源、目标用户群或攻击持续时间等细节。此外，目前尚不清楚该漏洞是苹果安全团队内部发现的，还是由外部研究人员报告的。

受影响的设备和软件版本

此安全更新适用于以下设备和软件版本：

iOS 18.3.2 和 iPadOS 18.3.2：iPhone XS 及更新机型、13 英寸 iPad Pro（第三代及更新机型）、12.9 英寸 iPad Pro（第三代及更新机型）、11 英寸 iPad Pro（第一代及更新机型）、iPad Air（第三代及更新机型）、iPad（第七代及更新机型）和 iPad mini（第五代及更新机型）。
macOS Sequoia 15.3.2：运行 macOS Sequoia 的 Mac。
Safari 18.3.1：运行 macOS Ventura 和 macOS Sonoma 的 Mac。
visionOS 2.3.2：Apple Vision Pro。

Apple 持续努力解决零日漏洞

这是苹果在 2025 年修复的第三个零日漏洞。此前，苹果还修复了 CVE-2025-24085 和 CVE-2025-24200，凸显了针对苹果生态系统的网络攻击日益复杂。这些及时的补丁强调了及时更新最新安全补丁的重要性。

如何保持保护

Apple 敦促用户立即更新其设备以防范此漏洞。要更新您的设备，请执行以下操作：

iPhone 和 iPad ：前往“设置”>“通用”>“软件更新”并安装最新更新。
Mac ：打开系统设置> 通用> 软件更新以应用最新的 macOS 更新。
Safari ：Ventura 或 Sonoma 上的 Mac 用户应通过“系统设置”>“软件更新”来更新 Safari。
Apple Vision Pro ：通过“设置”>“通用”>“软件更新”更新 visionOS。

通过保持最新更新，用户可以减轻此零日漏洞被利用的风险并增强其 Apple 设备的安全性。

Apple 对此安全漏洞的快速响应反映了其为保护用户免受复杂的零日攻击而做出的持续努力。虽然攻击规模和来源缺乏透明度引发担忧，但该补丁为受影响的设备提供了至关重要的保护。用户应优先考虑及时更新，以确保持续抵御不断演变的网络威胁。