文章总结： 苹果发布紧急更新修复两个零日漏洞CVE-2025-43529和CVE-2025-14174，二者均涉及WebKit内存问题，已被用于针对iOS26前版本的复杂攻击。谷歌也协同修复了相同漏洞。影响iPhone11及iPad等多代设备，建议用户尽快升级至iOS26.2或18.7.3等最新版本以防范风险。这是苹果2025年修复的第七个在野利用漏洞。 综合评分： 83 文章分类： 漏洞预警,漏洞分析,移动安全,WEB安全

苹果修复了两个在 “复杂” 攻击中被利用的零日漏洞

Rhinoer

犀牛安全

2025年12月23日 00:00 北京

苹果公司发布了紧急更新，修复了两个零日漏洞，这两个漏洞在针对特定个人的“极其复杂的攻击”中被利用。

这两个零日漏洞分别被追踪为 CVE-2025-43529 和 CVE-2025-14174，它们都是针对同一已报告的漏洞利用而发布的。

苹果公司的安全公告称：“苹果公司注意到有报告称，此漏洞可能已被用于针对 iOS 26 之前版本 iOS 的特定目标用户的极其复杂的攻击中。”

CVE-2025-43529 是 WebKit 的一个释放后使用远程代码执行漏洞，攻击者可以通过处理恶意构造的网页内容来利用该漏洞。苹果公司表示，该漏洞是由谷歌威胁分析小组发现的。

CVE-2025-14174 是一个 WebKit 内存损坏漏洞，可能导致内存损坏。苹果公司表示，该漏洞是由苹果和谷歌的威胁分析小组共同发现的。

受这两个缺陷影响的设备包括：

• iPhone 11 及更新机型
• iPad Pro 12.9 英寸（第三代及更新机型）
• iPad Pro 11 英寸（第一代及更新机型）
• iPad Air（第三代及更新机型）
• iPad（第八代及更新机型）
• iPad mini（第五代及更新机型）

苹果公司已修复了 OS 26.2 和 iPadOS 26.2、iOS 18.7.3 和 iPadOS 18.7.3、macOS Tahoe 26.2、tvOS 26.2、watchOS 26.2、visionOS 26.2 和 Safari 26.2 中的漏洞。

周三，谷歌修复了谷歌 Chrome 浏览器中一个神秘的零日漏洞，最初将其标记为“[N/A][466192044] 高：正在上报审批中”。

然而，谷歌现在已更新了安全公告，将该漏洞识别为“CVE-2025-14174：ANGLE 中的越界内存访问”，这与苹果修复的 CVE 相同，表明两家公司进行了协调披露。

除了表示攻击目标是运行 iOS 26 之前版本的 iOS 的用户之外，苹果公司没有披露有关攻击的技术细节。

由于这两个漏洞都影响了谷歌 Chrome 在 iOS 上使用的 WebKit，因此这种行为与高度针对性的间谍软件攻击相符。

虽然这些漏洞仅在有针对性的攻击中被利用，但强烈建议用户及时安装最新的安全更新，以降低持续被利用的风险。

通过这些修复，苹果公司目前已修复了 2025 年被利用的七个零日漏洞，最早的漏洞是 1 月份的 CVE-2025-24085，2月份 的CVE-2025-24200，3月份的 CVE-2025-24201， 以及 4 月份的两个漏洞 （CVE-2025-31200 和 CVE-2025-31201）。

9 月，苹果公司还将针对CVE-2025-43300零日漏洞的修复程序向后移植到运行 iOS 15.8.5 / 16.7.12 和 iPadOS 15.8.5 / 16.7.12 的旧设备。

信息来源：BleepingComputer

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：犀牛安全 Rhinoer《苹果修复了两个在 “复杂” 攻击中被利用的零日漏洞》