HackerNews 编译,转载请注明出处:
苹果公司周三发布带外(out-of-band)操作系统更新,修复两个已被用于针对少量iOS设备的“极其复杂”攻击的安全漏洞。
这两个漏洞编号为CVE-2025-31200和CVE-2025-31201,分别被归类为代码执行漏洞和安全缓解措施绕过漏洞,影响iOS、iPadOS及macOS平台。苹果称已收到报告,确认这些漏洞被用于针对特定iPhone目标的高端攻击。
CoreAudio组件漏洞(CVE-2025-31200)
处理恶意构造的媒体文件中的音频流时可能触发代码执行。苹果确认该漏洞可能已在针对iOS设备特定个体的高度复杂攻击中被利用。此内存损坏问题通过改进边界检查修复。该漏洞由谷歌威胁分析小组(TAG)报告。
RPAC组件漏洞(CVE-2025-31201)
具备任意读写能力的攻击者可能绕过指针认证(Pointer Authentication)机制。苹果确认该漏洞可能已在针对iOS设备特定个体的高度复杂攻击中被利用。此问题通过移除漏洞代码修复。(注:指针认证是ARM架构中的安全功能,用于检测指针是否被篡改)
漏洞补丁已覆盖所有运行macOS Sequoia系统的设备,但苹果强调目前仅观察到少量针对iPhone的攻击实例。
依照惯例,苹果未公开实际攻击的技术细节或入侵指标(IOCs)。
消息来源:securityweek;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
