蘋果公司近日向用戶推送了iOS 26.2、iPadOS 26.2及macOS Tahoe 26.2系統更新,此次更新集中修復了25個安全漏洞,涉及內存管理、權限控制、隱私保護等多個核心領域。技術團隊建議所有用戶盡快完成升級,以防范潛在的安全風險。
在修復的漏洞中,兩個WebKit組件漏洞(CVE-2025-43529和CVE-2025-14174)尤為引人關注。谷歌威脅分析小組發現,黑客可利用這些漏洞對運行舊版iOS的設備發起定向攻擊,通過惡意網頁觸發任意代碼執行。新版本通過重構內存管理流程和強化驗證機制,徹底阻斷了此類攻擊路徑。
針對支付安全領域,系統修復了App Store存在的權限配置缺陷(CVE-2025-46288)。該漏洞由字節跳動安全團隊發現,允許應用程序繞過權限限制訪問支付令牌。更新后,蘋果對應用調用敏感接口的行為實施了雙重驗證機制,從源頭杜絕數據泄露可能。
內核級安全方面,阿里巴巴安全團隊提交的整數溢出漏洞(CVE-2025-46285)得到修復。攻擊者曾可通過構造惡意數據包誘導系統崩潰或獲取Root權限,新系統采用64位時間戳技術重構時間處理模塊,從根本上消除了這類溢出風險。
隱私保護功能迎來多項強化。研究人員Michael Schmutzer報告的相冊訪問漏洞(CVE-2025-43428)被修復,此前非授權應用可繞過系統限制讀取"已隱藏"相冊內容。屏幕使用時間功能也通過數據脫敏處理,阻止了應用竊取Safari瀏覽記錄的途徑。
通訊安全領域,FaceTime來電顯示機制得到重點加固。更新修復了狀態管理邏輯缺陷(CVE-2025-46287),防止攻擊者偽造Caller ID或通過遠程控制泄露密碼字段。iMessage和電話應用同步升級了隱私控制模塊,新增多級權限檢查機制。
系統底層組件同樣進行全面體檢。AppleJPEG解碼器、Foundation框架及多點觸控模塊新增了邊界檢查機制,對輸入數據進行嚴格驗證。這些改進有效防范了內存破壞類攻擊,提升了操作系統整體的健壯性。
