预警背景描述
近日,监测到旧版iOS、macOS操作系统存在多个安全漏洞,这些漏洞包括多种类型,影响多个iOS、macOS系统组件。通过利用这些漏洞,攻击者通过文件投毒、引导访问恶意网站等攻击行为可以达到控制用户的苹果移动设备、泄露个人敏感信息或是拦截流量等目的,建议受影响用户尽快修复。
预警描述
iOS是由苹果公司开发的移动操作系统,苹果公司最早于2007年1月9日的Macworld大会上公布这个系统,最初是设计给iPhone使用的,后来陆续套用到iPod touch、iPad上。iOS与苹果的macOS操作系统一样,属于类Unix的商业操作系统。
iOS 18.5更新与 iPadOS 补丁一起推出,涵盖 AppleJPEG 和 CoreMedia 中的多个严重漏洞。苹果公司提到攻击者可构造恶意媒体文件,以目标 app 的权限运行任意代码。苹果公司还提到了在 CoreAudio、CoreGraphics 和 ImageIO 中修复的多个严重的文件解析漏洞。如打开恶意内容,则攻击者可利用这些漏洞导致 app 崩溃或数据泄露。iOS 18.5更新还修复了至少9个 WebKit 漏洞,其中一些严重漏洞可导致恶意网站执行代码或使 Safari 浏览器引擎崩溃。苹果公司还修复了 FaceTime 中的一个严重的“静音按钮”漏洞,即使在麦克风被静音后仍可暴露音频会话。苹果公司还提到,iOS 18.5 修复了内核中的两个内核损坏漏洞和libexpat 库中的影响大量软件项目的漏洞 (CVE-2024-8176)。其它值得关注的漏洞包括 Baseband 中的CVE-2025-31214,它可导致位于权限网络中的攻击者拦截iPhone 16e系列上的流量;mDNSResponder 中的提权漏洞CVE-2025-31222;位于Notes 应用中的漏洞可导致iPhone锁屏下数据遭泄露;以及FrontBoard、iCloud Document Sharing 和 Mail Addressing 中的多个漏洞。苹果并未提及这些漏洞是否已遭在野利用。iOS 18.5 更新适用于 iPhone XS及后续版本;iPadOS 发布涵盖了 iPad Pro(2018及后续版本)、iPad Air 3、iPad 7、iPad mini5 及后续机型。苹果还为 macOS Sequoia、macOS Sonoma、macOS Ventura、WatchOS、tvOS 和 visionOS 发布重大更新。
受影响范围
iOS < v18.5
macOS < v15.5
修复建议
目前,苹果公司已经推出iOS 18.5、macOS 15.5更新补丁,建议相关用户及时确认是否受到漏洞影响,尽快更新至安全版本:iOS v18.5、macOS v15.5
近日,监测到旧版iOS、macOS操作系统存在多个安全漏洞,这些漏洞包括多种类型,影响多个iOS、macOS系统组件。通过利用这些漏洞,攻击者通过文件投毒、引导访问恶意网站等攻击行为可以达到控制用户的苹果移动设备、泄露个人敏感信息或是拦截流量等目的,建议受影响用户尽快修复。
预警描述
iOS是由苹果公司开发的移动操作系统,苹果公司最早于2007年1月9日的Macworld大会上公布这个系统,最初是设计给iPhone使用的,后来陆续套用到iPod touch、iPad上。iOS与苹果的macOS操作系统一样,属于类Unix的商业操作系统。
iOS 18.5更新与 iPadOS 补丁一起推出,涵盖 AppleJPEG 和 CoreMedia 中的多个严重漏洞。苹果公司提到攻击者可构造恶意媒体文件,以目标 app 的权限运行任意代码。苹果公司还提到了在 CoreAudio、CoreGraphics 和 ImageIO 中修复的多个严重的文件解析漏洞。如打开恶意内容,则攻击者可利用这些漏洞导致 app 崩溃或数据泄露。iOS 18.5更新还修复了至少9个 WebKit 漏洞,其中一些严重漏洞可导致恶意网站执行代码或使 Safari 浏览器引擎崩溃。苹果公司还修复了 FaceTime 中的一个严重的“静音按钮”漏洞,即使在麦克风被静音后仍可暴露音频会话。苹果公司还提到,iOS 18.5 修复了内核中的两个内核损坏漏洞和libexpat 库中的影响大量软件项目的漏洞 (CVE-2024-8176)。其它值得关注的漏洞包括 Baseband 中的CVE-2025-31214,它可导致位于权限网络中的攻击者拦截iPhone 16e系列上的流量;mDNSResponder 中的提权漏洞CVE-2025-31222;位于Notes 应用中的漏洞可导致iPhone锁屏下数据遭泄露;以及FrontBoard、iCloud Document Sharing 和 Mail Addressing 中的多个漏洞。苹果并未提及这些漏洞是否已遭在野利用。iOS 18.5 更新适用于 iPhone XS及后续版本;iPadOS 发布涵盖了 iPad Pro(2018及后续版本)、iPad Air 3、iPad 7、iPad mini5 及后续机型。苹果还为 macOS Sequoia、macOS Sonoma、macOS Ventura、WatchOS、tvOS 和 visionOS 发布重大更新。
受影响范围
iOS < v18.5
macOS < v15.5
修复建议
目前,苹果公司已经推出iOS 18.5、macOS 15.5更新补丁,建议相关用户及时确认是否受到漏洞影响,尽快更新至安全版本:iOS v18.5、macOS v15.5
