蘋果公司近日向用戶推送了iOS 26.2、iPadOS 26.2及macOS Tahoe 26.2系統更新,此次更新共計修復了25個安全漏洞,并建議所有用戶盡快完成升級。此次更新涉及多個核心組件的安全強化,覆蓋了從內核級漏洞到用戶隱私保護的多個層面。
在所有修復的漏洞中,兩個WebKit漏洞(CVE-2025-43529和CVE-2025-14174)尤為引人關注。這兩個漏洞由谷歌威脅分析小組發現,蘋果官方確認已有黑客利用其針對舊版iOS用戶發起定向攻擊。新版本通過優化內存管理和驗證機制,徹底消除了惡意網頁內容觸發“任意代碼執行”的風險,有效提升了瀏覽器安全性。
針對App Store的支付安全,蘋果修復了編號為CVE-2025-46288的權限問題。該漏洞由字節跳動IES紅隊的floeki和Zhongcheng Li發現,允許應用程序訪問敏感支付令牌。更新后,系統實施了更嚴格的限制措施,防止惡意應用竊取用戶支付信息,進一步保障了數字交易的安全性。
內核級漏洞的修復也是此次更新的重點。阿里巴巴集團的Kaitao Xie和Xiaolong Bai發現并提交了CVE-2025-46285漏洞,攻擊者可通過該漏洞誘導系統崩潰或獲取Root權限。蘋果工程師通過引入64位時間戳技術,從底層邏輯上消除了這一隱患,顯著提升了系統的穩定性與安全性。
在隱私保護方面,iOS 26.2修復了多個用戶感知強烈的漏洞。例如,CVE-2025-43428漏洞允許非授權訪問“已隱藏”相冊,該問題由研究人員Michael Schmutzer發現并報告。針對屏幕使用時間(ScreenTime)功能,新版本通過改進數據編校,堵住了應用竊取Safari瀏覽記錄的后門,進一步保護了用戶隱私。
通訊安全領域同樣得到加強。FaceTime的狀態管理邏輯經過優化(CVE-2025-46287),有效遏制了偽造來電顯示ID或泄露密碼字段的社會工程學攻擊。同時,iMessage和電話應用也通過增強隱私控制和權限檢查,修復了可能導致信息泄露的若干缺陷,為用戶提供了更安全的通訊環境。
此次更新還針對AppleJPEG、Foundation框架及多點觸控組件中的內存破壞問題,加入了更嚴格的輸入驗證與邊界檢查機制。這些改進從底層夯實了操作系統的安全性,為用戶提供了更可靠的使用體驗。
