苹果公司近日向用户推送了iOS 26.2、iPadOS 26.2及macOS Tahoe 26.2系统更新,此次更新共计修复了25个安全漏洞,并建议所有用户尽快完成升级。此次更新涉及多个核心组件的安全强化,覆盖了从内核级漏洞到用户隐私保护的多个层面。
在所有修复的漏洞中,两个WebKit漏洞(CVE-2025-43529和CVE-2025-14174)尤为引人关注。这两个漏洞由谷歌威胁分析小组发现,苹果官方确认已有黑客利用其针对旧版iOS用户发起定向攻击。新版本通过优化内存管理和验证机制,彻底消除了恶意网页内容触发“任意代码执行”的风险,有效提升了浏览器安全性。
针对App Store的支付安全,苹果修复了编号为CVE-2025-46288的权限问题。该漏洞由字节跳动IES红队的floeki和Zhongcheng Li发现,允许应用程序访问敏感支付令牌。更新后,系统实施了更严格的限制措施,防止恶意应用窃取用户支付信息,进一步保障了数字交易的安全性。
内核级漏洞的修复也是此次更新的重点。阿里巴巴集团的Kaitao Xie和Xiaolong Bai发现并提交了CVE-2025-46285漏洞,攻击者可通过该漏洞诱导系统崩溃或获取Root权限。苹果工程师通过引入64位时间戳技术,从底层逻辑上消除了这一隐患,显著提升了系统的稳定性与安全性。
在隐私保护方面,iOS 26.2修复了多个用户感知强烈的漏洞。例如,CVE-2025-43428漏洞允许非授权访问“已隐藏”相册,该问题由研究人员Michael Schmutzer发现并报告。针对屏幕使用时间(ScreenTime)功能,新版本通过改进数据编校,堵住了应用窃取Safari浏览记录的后门,进一步保护了用户隐私。
通讯安全领域同样得到加强。FaceTime的状态管理逻辑经过优化(CVE-2025-46287),有效遏制了伪造来电显示ID或泄露密码字段的社会工程学攻击。同时,iMessage和电话应用也通过增强隐私控制和权限检查,修复了可能导致信息泄露的若干缺陷,为用户提供了更安全的通讯环境。
此次更新还针对AppleJPEG、Foundation框架及多点触控组件中的内存破坏问题,加入了更严格的输入验证与边界检查机制。这些改进从底层夯实了操作系统的安全性,为用户提供了更可靠的使用体验。
