文章总结： 苹果公司修复了两个WebKit0Day漏洞CVE-2025-43529和CVE-2025-14174，这些漏洞已被用于针对运行iOS26之前版本的特定iPhone用户发起复杂攻击。CVE-2025-43529是一个释放后使用漏洞，可通过恶意网页内容实现任意代码执行。这些漏洞影响iPhone11及后续机型以及特定型号的iPad。苹果还修复了内核、Foundation等组件中的30多个漏洞。用户应立即通过设置进行系统更新以防范风险。 综合评分： 75 文章分类： 漏洞分析,漏洞预警,移动安全,安全大事件,应用安全

苹果0Day漏洞遭利用，针对特定iPhone用户发起复杂攻击

FreeBuf

2025年12月13日 18:03 上海

苹果公司修复了两个WebKit 0Day漏洞，这些漏洞已被用于针对运行iOS 26之前版本的特定iPhone用户发起复杂攻击。2025年12月12日发布的iOS 26.2和iPadOS 26.2更新修复了WebKit中的CVE-2025-43529和CVE-2025-14174漏洞。

CVE-2025-43529是一个释放后使用漏洞，攻击者可通过恶意网页内容实现任意代码执行，该漏洞由谷歌威胁分析小组发现。CVE-2025-14174则是相关的内存损坏问题，苹果和谷歌TAG确认这两个漏洞与针对性间谍软件活动有关。

这些漏洞影响iPhone 11及后续机型，以及特定型号的iPad Pro、iPad Air和iPad mini。

Part01

其他关键修复

苹果还修复了内核、Foundation、屏幕使用时间和curl等组件中的30多个漏洞。值得关注的问题包括：由阿里巴巴集团研究人员发现的内核整数溢出漏洞（CVE-2025-46285），可导致root权限提升；多个屏幕使用时间记录漏洞（CVE-2025-46277、CVE-2025-43538）可能泄露Safari浏览历史或用户数据。

WebKit还修复了类型混淆、缓冲区溢出和崩溃等问题（如CVE-2025-43541、CVE-2025-43501）。同时修复了libarchive（CVE-2025-5918）和curl（CVE-2024-7264、CVE-2025-9086）中的开源组件漏洞。

Part02

受影响设备与缓解措施

受影响设备包括iPhone 11及以上机型、12.9英寸iPad Pro（第三代及以上）、11英寸iPad Pro（第一代及以上）、iPad Air（第三代及以上）、iPad（第八代及以上）以及iPad mini（第五代及以上）。

用户应立即通过”设置 > 通用 > 软件更新”进行升级，以防范这些针对性攻击带来的风险，此类攻击模式与以往的间谍软件攻击一致。苹果未透露攻击者详细信息，但与谷歌的合作表明这些威胁可能具有国家级背景。

参考来源：

Apple 0-Day Vulnerabilities Exploited in Sophisticated Attacks Targeting iPhone Users

Apple 0-Day Vulnerabilities Exploited in Sophisticated Attacks Targeting iPhone Users

#

#

#

推荐阅读

#

电台讨论

查看原文：《苹果0Day漏洞遭利用，针对特定iPhone用户发起复杂攻击》