苹果近日在多个平台紧急发布安全更新,修复两个影响webkit引擎的高危漏洞:cve-2025-14174 与 cve-2025-43529。
根据苹果官方发布的安全通告,这两个漏洞已在真实攻击场景中被积极利用。攻击者可通过诱导用户访问恶意构造的网页,触发内存损坏或释放后使用(use-after-free)问题,从而实现远程任意代码执行,威胁等级极高。所有依赖WebKit渲染网页内容的设备及应用程序均受影响,包括iPhone、iPad、Mac、Apple TV、Apple Watch以及Apple Vision Pro。目前相关修复已集成至 iOS 26.2、macOS Tahoe 26.2、Safari 26.2,以及同步更新的 iPadOS、tvOS、watchOS 和 visionOS 版本中。苹果强烈建议用户立即安装最新系统更新以规避风险。
从技术细节来看,苹果在安全文档中指出,CVE-2025-43529 和 CVE-2025-14174 均属于典型的释放后使用型内存安全缺陷。当WebKit解析并渲染恶意网页时,可能因对象生命周期管理错误导致内存被重复引用,进而被用于执行攻击者控制的代码。二者共有的关键特征是攻击入口完全依赖浏览器渲染流程——用户仅需打开特定网页即可触发漏洞,无需交互操作,构成典型的“零点击”攻击面。
此外,苹果披露,其中部分漏洞由 Google 的威胁分析小组(Threat Analysis Group)联合苹果安全工程与架构团队(SEAR)共同发现、验证并协同修复。
值得注意的是,CVE-2025-14174 的利用痕迹此前已在 Chromium 项目中被观测到,相关修补涉及 ANGLE 图形抽象层;Google 已在 Chrome 桌面版中同步部署了对应缓解措施。
