文章总结： 苹果公司发布安全更新修复了两个被积极利用的0day漏洞CVE-2025-43529和CVE-2025-14174，这些漏洞存在于WebKit中，允许攻击者通过精心构造的网页执行任意代码。这些漏洞已被用于针对特定个人的高度定向攻击，表明可能有APT组织参与。过去一年中苹果公司修复的被积极利用的0day漏洞数量达到五个。安全专家建议用户启用自动更新，限制浏览不受信任的网络内容，并检查设备安全设置以减少攻击面。 综合评分： 89 文章分类： 漏洞分析,漏洞预警,移动安全,WEB安全,安全大事件

苹果公司证实针对 iPhone 用户的定向攻击中存在0day漏洞利用

会杀毒的单反狗

军哥网络安全读报

2025年12月15日 09:40 湖北

导读

苹果公司发布了一项重要安全更新，涵盖 iOS、iPadOS、macOS、watchOS、tvOS、visionOS 和 Safari 浏览器等多个平台。此次安全更新解决了攻击者可能利用精心构造的网页执行恶意代码的漏洞。

苹果公司证实，在 iOS 26 发布之前，这两个漏洞已被用于针对特定个人的极其复杂的攻击。

WebKit 关键漏洞正被积极利用

这些漏洞编号为 CVE-2025-43529 和 CVE-2025-14174，它们存在于 WebKit 中，WebKit 是苹果公司的浏览器引擎，为 Safari 和应用内网页内容渲染提供支持。

谷歌威胁分析小组发现了这两个安全漏洞，凸显了这些攻击的复杂性。

| | | | | | — | — | — | — | | CVE ID | 成分 | 漏洞类型 | 开发状况 | | CVE-2025-43529 | WebKit | 免费使用后 | 积极利用 | | CVE-2025-14174 | WebKit | 内存损坏 | 积极利用 |

CVE-2025-43529 涉及释放后使用漏洞，攻击者可以通过恶意构造的 Web 内容执行任意代码。

苹果通过改进内存管理协议解决了这个问题。

第二个漏洞 CVE-2025-14174 的核心是内存损坏，在处理专门设计的网页内容时可能会触发该漏洞，苹果公司通过增强验证措施解决了这个问题。

这些漏洞会影响包括 iPhone 11 及更新机型在内的多种苹果设备，以及多代 iPad。

具体来说，受影响的机型包括：第三代及更新的 12.9 英寸 iPad Pro、第一代及更新的 11 英寸 iPad Pro、第三代及更新的 iPad Air、第八代及更新的 iPad 以及第五代及更新的 iPad mini。

苹果公司承认这些漏洞已被积极利用，凸显这些漏洞的严重性。

苹果公司证实，这些漏洞被用于针对特定个人的高度定向攻击，这表明可能有APT组织参与其中。

过去一年中苹果公司修复的被积极利用的0day漏洞数量达到五个。此前，苹果公司还发布更新修复了 Core Media、Accessibility 和 WebKit 中被积极利用的漏洞——这些高风险问题的组合表明，高级威胁组织持续关注苹果公司的软件堆栈，也表明苹果公司的软件堆栈一直是老练攻击者的目标。

苹果平台已成为资源雄厚的威胁组织的高价值目标，他们能够利用浏览器和系统的弱点，通过对平台发起一系列攻击，来攻击精心挑选的受害者。

安全专家建议用户，尤其是那些从事高风险工作的用户，如记者、高管和公众人物，启用自动更新，限制浏览不受信任的网络内容，并检查设备安全设置，以减少潜在的攻击面。

这些攻击的复杂性表明，移动设备用户，尤其是高价值目标，面临着不断变化的威胁形势。

苹果公司安全公告：

https://support.apple.com/en-us/125884

新闻链接：

Apple Confirms Zero-Day Exploitation in Targeted Attacks on iPhone Users

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

查看原文：《苹果公司证实针对 iPhone 用户的定向攻击中存在0day漏洞利用》