蘋果近日更新了多個系統版本的安全內容頁面,為macOS、iOS、iPadOS、visionOS及watchOS各版本中已修復的漏洞補充了新的CVE詳細資訊。
去年9月,蘋果發布了macOS 14.8 Sonoma、iOS 18.7及iPadOS 18.7,這些版本包含重要的安全更新,修復了多個可能導致攻擊者訪問用戶受保護或敏感數據的漏洞。
此後,蘋果對macOS Sonoma又進行了六次更新,目前最新版本為14.8.7(蘋果跳過了14.8.6版本)。對於尚未升級到新主要版本的iPhone和iPad用戶,蘋果同樣持續推送更新,iOS 18與iPadOS 18當前最新版本均為18.7.9。
針對Apple Watch和Apple Vision Pro用戶,蘋果去年也發布了watchOS 26和visionOS 26,在引入多項新功能的同時,包含了重要的安全修復內容。
此次蘋果更新了上述系統版本的安全內容頁面,進一步補充了修復詳情及對應的CVE編號。
iOS 26與iPadOS 26安全內容頁面新增修復內容
適用設備:iPhone 11及更新機型、iPad Pro 12.9英寸第3代及更新機型、iPad Pro 11英寸第1代及更新機型、iPad Air第3代及更新機型、iPad第8代及更新機型、iPad mini第5代及更新機型。
問題影響:私人瀏覽標籤頁可能在未經身份驗證的情況下被訪問。
問題描述:通過改進狀態管理解決了該問題。
CVE編號:CVE-2025-30468,由Richard Hyunho Im(@richeeta)及Jiwon Park發現並報告。
蘋果同時致謝了Keisuke Chinone(Iroiro)以及Totally Not Malicious Software的Rosyna Keller在此次修復中提供的協助。
visionOS 26與watchOS 26安全內容新增內容
蘋果致謝了Keisuke Chinone(Iroiro)和Totally Not Malicious Software的Rosyna Keller,以及Sungwoo Kim、Yepeng Pan和Christian Rossow教授在相關安全研究中提供的協助。
macOS Sonoma 14.8安全內容頁面新增修復內容
以下為此次新增的修復詳情,均適用於macOS Sonoma系統:
一、應用程式可能能夠對用戶進行指紋識別。該問題通過改進敏感資訊的隱藏處理得以解決。CVE-2025-43357,由Totally Not Malicious Software的Rosyna Keller和Best Buddy Apps的Guilherme Rambo(rambo.codes)發現。
二、應用程式可能能夠修改文件系統的受保護部分。該權限問題通過添加額外限制得以解決。CVE-2025-43290,由字節跳動IES紅隊的Zhongcheng Li發現。
三、惡意應用程式可能能夠訪問用戶敏感數據。該邏輯問題通過改進驗證機製得以解決。CVE-2025-43289,由Matej Moravec(@MacejkoMoravec)和Kirin(@Pwnrin)發現。
四、即便鎖屏通知已關閉,來電的FaceTime通話仍可能在已鎖定的macOS設備上顯示或被接聽。該問題通過改進狀態管理得以解決。CVE-2025-31271,由Shantanu Thakur發現。
五、應用程式可能能夠訪問用戶敏感數據。該日誌記錄問題通過改進數據隱藏處理得以解決。CVE-2025-43508,由SecuRing的Wojciech Regula(wojciechregula.blog)發現。
六、惡意應用程式可能能夠獲取root權限。該邏輯問題通過改進檢查機製得以解決。CVE-2025-43306,由Mickey Jin(@patch1t)發現。
macOS Sonoma 14.8.2安全內容頁面新增修復內容
適用設備:macOS Sonoma。
問題影響:處理某個文件可能導致內存損壞。
問題描述:此為開源代碼中存在的漏洞,蘋果軟體屬於受影響項目之一。CVE編號由第三方機構分配,詳情可訪問cve.org查閱。
CVE編號:CVE-2025-6965。
iOS 18.7與iPadOS 18.7安全內容新增內容
適用設備:iPhone XS及更新機型、iPad Pro 13英寸、iPad Pro 12.9英寸第3代及更新機型、iPad Pro 11英寸第1代及更新機型、iPad Air第3代及更新機型、iPad第7代及更新機型、iPad mini第5代及更新機型。
問題影響:應用程式可能能夠對用戶進行指紋識別。
問題描述:通過改進敏感資訊的隱藏處理解決了該問題。
CVE編號:CVE-2025-43357,由Totally Not Malicious Software的Rosyna Keller和Best Buddy Apps的Guilherme Rambo(rambo.codes)發現。
蘋果同時致謝了Enki WhiteHat團隊的DongJun Kim(@smlijun)和JongSeong Kim(@nevul37)提供的協助。
Q&A
Q1:蘋果此次為哪些系統版本補充了CVE漏洞詳情?
A:蘋果此次更新了macOS Sonoma 14.8及14.8.2、iOS 18.7、iPadOS 18.7、iOS 26、iPadOS 26、visionOS 26以及watchOS 26的安全內容頁面,為上述版本中已修復的漏洞補充了具體的CVE編號及詳細描述。
Q2:macOS Sonoma 14.8修復了哪些主要安全漏洞?
A:macOS Sonoma 14.8此次補充的修復內容共六項,涵蓋用戶指紋識別風險、文件系統受保護部分被修改、惡意應用訪問敏感數據、鎖屏狀態下FaceTime來電異常顯示、日誌記錄導致數據泄露,以及惡意應用獲取root權限等問題,分別通過改進狀態管理、權限限制及驗證機制加以解決。
Q3:iOS 26新增的安全修復解決了什麼問題?
A:iOS 26和iPadOS 26此次新增的安全修復針對私人瀏覽標籤頁在未經身份驗證情況下可能被訪問的問題,該漏洞由研究人員Richard Hyunho Im和Jiwon Park發現,蘋果通過改進狀態管理機制解決了這一問題,適用於iPhone 11及更新機型等多款設備。
