文章总结： iOS/iPadOSWebKit曝两个零点击0day漏洞CVE-2025-43529与CVE-2025-14174，访问恶意网页即可获设备完全控制权并窃取密码与金融数据，苹果已在iOS26.2及18.7.3修复，旧机型无补丁，用户需立即升级并仅限受支持设备继续浏览网页以降低被定向攻击风险。 综合评分： 82 文章分类： 漏洞预警,移动安全,漏洞分析,威胁情报,应急响应

iOS 和 iPadOS 的新漏洞使数百万部 iPhone 面临风险

会杀毒的单反狗 会杀毒的单反狗

军哥网络安全读报

2026年1月21日 09:04 湖北

导读

iOS 和iPadOS 的 WebKit 存在严重漏洞，可能导致数百万台 iPhone 和 iPad 被悄无声息地控制。苹果敦促用户立即更新。

无需点击。无需警告。完全设备访问权限。

苹果公司确认两个影响数百万部 iPhone 和 iPad 的严重 WebKit 漏洞。利用 CVE-2025-43529 和 CVE-2025-14174 漏洞，攻击者可以获得设备的完全访问权限，包括密码和财务数据。

根据这份 iOS 和 iPadOS安全文档，这两个漏洞都源于 WebKit 的两个漏洞，攻击者可以利用这些漏洞在 Safari 中执行恶意代码，从而进一步访问设备。

利用过程如下：

• 攻击者将恶意代码隐藏在被入侵的网页中。
• 页面加载时，WebKit 内存处理不当。
• 该漏洞允许恶意代码在浏览器中运行。
• 第二个漏洞可以实现更深层次的访问权限，从而暴露设备数据。

这种漏洞被称为“零点击漏洞”，无需用户任何操作即可触发。如果同时存在这两种漏洞，用户只需访问一个网站就可能发生安全漏洞。

Hacker News 报道称，在苹果发现并修复这些漏洞之前，它们都是已经广泛传播的0day漏洞。该修复程序已包含在 iOS 26.2 中，因此大多数旧款 iPhone 和 iPad 无法获得更新。

苹果公司敦促所有用户升级系统，尤其是以下设备的用户：

• iPhone 11 及更新机型。
• iPad Pro 12.9  英寸，第三代及更新机型。
• iPad Pro 11 英寸，第一代及更新机型。
• iPad Air，第三代及更新机型。
• iPad，第八代及更新机型。
• iPad mini，第五代及更新机型。

据福克斯新闻报道，这份清单上的设备类别比其他设备类别更容易受到攻击。

苹果还发布了 iOS 18.7.3 来解决 iPhone XS、XS Max 和 XR 上的这两个 WebKit 漏洞，以及适用于 iPad（第七代）的 iPadOS 18.7.3。

福克斯新闻援引的研究表明，攻击者正针对特定个人。这些个人的身份尚未公开。类似的定向网络攻击表明，政治人物和公众人物很可能是攻击目标。

对许多苹果用户来说，设备更新似乎只是增加了一些外观设计和动画效果；然而，其真正的价值在于核心安全修复。设备更新对于安全至关重要，能够保护用户免受漏洞的侵害，例如那些被自动利用的漏洞。

新闻链接：

New iOS and iPadOS Flaws Leave Millions of iPhones at Risk

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗 会杀毒的单反狗《iOS 和 iPadOS 的新漏洞使数百万部 iPhone 面临风险》