苹果紧急推送iOS更新，修复致命图像漏洞，用户必看！

在发布 iOS 18.6.1 不到一周后，苹果推出了更新 18.6.2，该更新据说可以阻止黑客通过“恶意图像文件”入侵设备。

这个漏洞被标记为 CVE-2025-43300，位于苹果的图像 I/O 框架中，该框架处理其设备上图像文件的读取和写入。根据这家 iPhone 制造商的说法，处理恶意构造的图像可能导致内存损坏，并允许攻击者在设备上执行恶意代码。

苹果表示，该漏洞已被“针对特定目标的极其复杂攻击”利用。该公司通过 iOS 18.6.2 修复了这个问题，并在周三晚间发布了针对 macOS Sequoia、Sonoma 和 Ventura 的安全补丁，这次更新是非计划的。

“为了保护客户，苹果在调查进行之前不会披露、讨论或确认安全问题，直到补丁或更新发布，”该公司在官方支持页面上表示。

受影响的设备和更新可用性

iOS 18.6.2 更新涵盖自2018年发布的所有 iPhone，包括iPhone XS、XS Max、XR，以及第二代和第三代 iPhone SE。这个补丁同样适用于苹果最新的设备，包括iPhone 16系列和iPhone 16e。

支持的 iPad 型号有 iPad Pro 13英寸、iPad Pro 12.9英寸（第二代及以后）、iPad Pro 11英寸（第一代及以后）、iPad Pro 10.5英寸、iPad Air（第三代及以后）、iPad（第六代及以后）和iPad mini（第五代及以后）。

该更新也适用于运行最近三个版本的 macOS 的苹果Mac电脑。科技巨头建议用户不要等自动更新，而是手动安装补丁，因为自动更新可能需要时间才能更新到所有设备。

更新 18.6.1 如何使设备易受攻击？

根据几位安全分析师的说法，这个缺陷是一种越界写入漏洞（out-of-bounds write vulnerability），允许攻击者访问或操纵通常应受限制的设备内存部分。

前微软顾问、网络安全公司 Malwarebytes 的研究员 Pieter Arntz 在一篇 博客 中解释道，这个漏洞可能允许攻击者在“无法访问的内存区域”插入和运行代码。

“这种程序缺陷允许它在设定的边界之外读取或写入，从而使攻击者能够操纵分配给更关键功能的其他内存部分，”他表示。

阿恩茨提到，攻击者可以利用这个漏洞，创建一个恶意图像文件，该文件在设备处理时会导致内存损坏，甚至不需要用户交互。他将这种攻击比作所谓的零点击漏洞，在这种情况下，间谍软件或恶意软件只需接收或处理恶意内容就会被激活。

“处理这样的恶意图像文件会导致内存崩溃，”他说。“内存崩溃问题可以被利用来让进程崩溃或执行攻击者的代码。”

苹果公司承认已收到关于该漏洞在针对特定个人的定向攻击中被利用的报告，但并没有公开受害者的身份。

Featurespace 的应用安全负责人肖恩·赖特认为，这个漏洞过于复杂，不太可能被大规模利用。

赖特在接受《福布斯》采访时他说：“幸运的是，这个漏洞似乎确实很复杂，可能只会在非常有针对性的攻击中被利用，因此大多数普通用户不太可能成为受害者。但我仍然强烈建议尽快应用修复，以确保账户安全。”