蘋果公司近日發(fā)布兩項系統(tǒng)更新，用于修復(fù)ImageIO框架中一個可能已被用于定向攻擊的零日漏洞（zero-day vulnerability）。編號為CVE-2025-43300的漏洞在iOS 16.7.12和iPadOS 16.7.12版本中得到修復(fù)，該漏洞可能導(dǎo)致蘋果手機在處理惡意文件時出現(xiàn)內(nèi)存損壞。

高危漏洞無緩解措施

蘋果在周一發(fā)布的安全公告中指出，該漏洞源于越界寫入（out-of-bounds write）問題。這家iPhone制造商表示："蘋果已收到報告，該漏洞可能已被用于針對特定個體的高度復(fù)雜攻擊。"由于缺乏臨時解決方案，蘋果建議所有用戶立即安裝iOS 16.7.12和iPadOS 16.7.12更新。

此次更新覆蓋新舊款iPhone、iPad及相關(guān)設(shè)備，包括未運行最新版操作系統(tǒng)的機型。鑒于該漏洞可能已被實際利用，蘋果特別警告所有用戶（尤其是舊機型持有者）應(yīng)立即安裝補丁。

補丁向后兼容舊設(shè)備

CVE-2025-43300漏洞被評定為嚴(yán)重級別（CVSS評分8.8/10），蘋果已于上月通過iOS 18.6.2和iPadOS 18.6.2進行修復(fù)。本周一，鑒于活躍攻擊報告，蘋果將該補丁擴展到更早的生命周期終止（EOL）版本。

受影響的ImageIO框架是iOS/iPadOS應(yīng)用中負責(zé)讀寫和處理圖像的核心組件。當(dāng)系統(tǒng)處理特定惡意圖像文件時，由于現(xiàn)有邊界驗證不足，會導(dǎo)致越界寫入操作。蘋果表示修復(fù)方案已通過改進框架邊界檢查機制來解決此問題。此次獲得16.7.12更新的設(shè)備包括iPhone 8/8 Plus/X、第五代iPad及早期iPad Pro機型。

雖然蘋果未公開攻擊技術(shù)細節(jié)，但此類漏洞利用通常出現(xiàn)在"水坑攻擊"（Watering-hole）、"魚叉式釣魚"（spear-phishing）或其他針對高風(fēng)險個體的圖像投遞攻擊中。

攻擊者轉(zhuǎn)向核心圖像服務(wù)

攻擊者似乎正將目標(biāo)轉(zhuǎn)向核心系統(tǒng)軟件中的圖像處理模塊，而非明顯的網(wǎng)絡(luò)服務(wù)或應(yīng)用。上周三星修復(fù)的libimagecodec.quram.so圖像庫高危漏洞（CVE-2025-21043）就允許通過特制圖像實現(xiàn)零交互遠程代碼執(zhí)行。

由于圖像解析框架深度集成于設(shè)備各項功能（從信息處理到媒體庫），此類漏洞可潛伏在看似無害的操作中。安全專家建議用戶不僅需要更新手機和平板，還應(yīng)升級所有使用ImageIO或同類圖像處理模塊的關(guān)聯(lián)設(shè)備。鑒于ImageIO屬于核心框架且無法禁用或替換，安裝更新是唯一有效的緩解措施。

2025年至今蘋果已修復(fù)8個零日漏洞，超過2024年全年總數(shù)（6個）。一年前該公司曾修復(fù)包括CVE-2023-32434和CVE-2023-32435在內(nèi)的20個漏洞，這些漏洞據(jù)稱被用于針對俄羅斯的"三角測量行動"間諜活動。