iOS 26.2正式版发布:修复25个漏洞,含谷歌字节等团队贡献
12月13日消息,科技媒体AppleInsider今日(12月13日)发布博文称,苹果公司已正式推送iOS 26.2、iPadOS 26.2及macOS Tahoe 26.2系统更新。本次更新共计修复了25个安全漏洞,并强烈建议所有用户立即升级。
在苹果本次修复的漏洞中,最值得关注的是CVE-2025-43529和CVE-2025-14174这两个WebKit漏洞,它们由谷歌威胁分析小组(Google Threat Analysis Group)率先发现。
苹果方面已确认,现有证据表明已有黑客利用这两个漏洞,对旧版iOS用户发起极为复杂的定向攻击。新版本通过改进内存管理和验证机制,彻底阻断了恶意网页内容触发“任意代码执行”的风险。
针对App Store,苹果公司采取了额外的限制措施来解决一个权限问题,该问题允许应用程序访问敏感的支付令牌。这个漏洞的编号为CVE-2025-46288,现已修复,它是由字节跳动IES红队的floeki和Zhongcheng Li发现的。
苹果在此次更新中还修复了一处严重的内核级整数溢出漏洞(CVE-2025-46285),攻击者此前可通过该漏洞诱导系统崩溃或获取Root权限。该漏洞由阿里巴巴集团的Kaitao Xie和Xiaolong Bai发现并提交,苹果工程师通过引入64位时间戳技术,从底层逻辑上消除了这一隐患。
援引博文介绍,针对AppleJPEG、Foundation框架及多点触控(Multi-Touch)组件中存在的内存破坏问题,系统也加入了更严格的输入验证与边界检查机制,进一步夯实了操作系统的“地基”。
针对用户感知极强的隐私痛点,iOS 26.2修复了一个允许非授权访问“已隐藏”相册的配置漏洞(CVE-2025-43428),该漏洞由研究人员Michael Schmutzer发现并报告。
同时,针对App Store存在的权限提升问题(CVE-2025-46288),苹果实施了额外的限制措施,防止恶意应用窃取敏感的支付令牌。对于屏幕使用时间(ScreenTime)功能,新版本也通过改进数据编校,堵住了应用窃取Safari浏览记录的后门。
在通讯安全领域,iOS 26.2重点加强了对FaceTime的状态管理。此前存在的界面逻辑缺陷可能允许攻击者伪造来电显示ID(Caller ID),甚至在远程控制设备时无意泄露密码字段。
更新后的系统通过优化状态管理逻辑(CVE-2025-46287),有效遏制了此类社会工程学攻击的发生。同时,iMessage和电话应用也分别通过增强隐私控制和权限检查,修复了可能导致信息泄露的若干缺陷。
热门专题
热门推荐
《Zero Parades: For Dead Spies》的媒体评测已经解禁,结果相当亮眼。这款被许多人视为《极乐迪斯科》精神续作的作品,在OpenCritic上拿到了86分的媒体均分,在Metacritic上也有83分。游戏将于5月21日正式登陆PC平台,看来2026年的必玩叙事RPG名单上,又
目录 你是否也遇到过这些问题 处理效果 前置准备 超简单AI自动化解决方案 第1步:准备好你的原始数据 第2步:针对指定的文件下达指令 第3步:验收 还能解决这些同类问题 指令为什么这么有用? 更多场景直接抄作业 销售数据三级汇总 成本数据多级汇总 库存数据汇总 员工薪资汇总 常见问题答疑 核心价值
AI Agent 的发展,正迎来一个关键的转折点,从概念验证迈向真正的生产力交付。 想象一下,当一个 AI 智能体能够在无需人工介入的情况下,独立完成一个复杂项目的全流程,并将成功经验固化为可随时调用的“技能”——这是否标志着 AI 在职场中的角色,已经从辅助工具演变为自主的生产力单元? 随着 Op
彭博社的马克・古尔曼在最新报道中透露了一个有趣的发现:苹果为WWDC 26发布的宣传海报,其设计细节可能暗藏玄机,指向了即将在iOS 27中亮相的全新Siri交互界面。 根据古尔曼的分析,新版Siri的核心变化在于与灵动岛的深度融合。唤醒时,它将不再以传统的全屏或底部卡片形式出现,而是会以一个扩展的
GitHub 的 Star 数量还值得信赖吗?真相可能比你想象的更严峻。 开源社区中“购买 Star”的现象早已不是秘密,其便捷程度甚至超过点外卖,单价低廉且支持批量折扣。然而,卡内基梅隆大学(CMU)一项被 ICSE 2026 顶会收录的最新研究,首次系统性地揭示了这场“造假生意”的惊人规模:Gi