苹果公司近日面向用户推送了iOS 26.2、iPadOS 26.2及macOS Tahoe 26.2系统更新,共计修复25个安全漏洞,并建议所有设备用户尽快完成升级。此次更新重点针对内存管理、权限验证及隐私保护等核心环节进行强化,部分高危漏洞已被证实被黑客利用实施定向攻击。
在修复的漏洞中,两个WebKit组件漏洞(CVE-2025-43529和CVE-2025-14174)尤为引人关注。谷歌威胁分析小组发现,攻击者可利用这两个漏洞对运行旧版iOS的设备发起复杂攻击,通过恶意网页触发任意代码执行。新版本通过改进内存分配机制和验证流程,彻底阻断了此类攻击路径。苹果官方确认,已有证据表明相关漏洞被用于实际攻击场景。
针对支付安全领域,字节跳动IES红队研究人员floeki和Zhongcheng Li报告的CVE-2025-46288漏洞得到修复。该漏洞允许应用程序绕过权限限制访问用户支付令牌,苹果通过加强App Store的权限管控机制,新增多层级验证流程防止敏感数据泄露。与此同时,屏幕使用时间功能的数据编校机制也得到优化,杜绝了应用窃取Safari浏览记录的可能性。
内核级安全方面,阿里巴巴集团安全团队提交的CVE-2025-46285漏洞被重点修复。该整数溢出漏洞可导致系统崩溃或攻击者获取Root权限,苹果工程师引入64位时间戳技术重构相关模块,从底层逻辑上消除隐患。AppleJPEG解码器、Foundation框架及多点触控组件的内存破坏问题也通过强化输入验证机制得到解决。
隐私保护层面,研究人员Michael Schmutzer发现的相册访问漏洞(CVE-2025-43428)被修复。此前用户标记为“隐藏”的相册内容可能被非授权访问,新版本通过重构相册权限管理模块确保数据隔离。通讯安全方面,FaceTime来电显示ID伪造漏洞(CVE-2025-46287)得到修复,优化后的状态管理逻辑有效防止社会工程学攻击,iMessage和电话应用的隐私控制机制也同步升级。
此次更新还涉及多项细节优化:系统级内存管理算法调整降低崩溃风险,多点触控组件的边界检查机制防止数据溢出,Foundation框架的异常处理流程更加严密。苹果安全团队表示,建议用户通过系统设置中的“软件更新”功能立即安装最新版本,已开启自动更新的设备将在夜间完成安装。
