苹果修补了 2025 年首个被利用的 iOS 0day(CVE-2025-24085)

苹果公司发布了软件更新，以解决其产品组合中的多个安全漏洞，包括一个据称已被广泛利用的零日漏洞。

该漏洞编号为 CVE-2025-24085，被描述为Core Media组件中的一个释放后使用错误，可能允许已安装在设备上的恶意应用程序提升权限。

该公司在一份简短的公告中表示：“苹果公司注意到一份报告称，该问题可能已被 iOS 17.2 之前的 iOS 版本积极利用。”

已通过改进以下设备和操作系统版本的内存管理解决了此问题 -

• iOS 18.3 和 iPadOS 18.3 - iPhone XS 及更新机型、iPad Pro 13 英寸、iPad Pro 12.9 英寸第 3 代及更新机型、iPad Pro 11 英寸第 1 代及更新机型、iPad Air 第 3 代及更新机型、iPad 第 7 代及更新机型、iPad mini 第 5 代及更新机型
• macOS Sequoia 15.3 - 运行 macOS Sequoia 的 Mac
• tvOS 18.3 - Apple TV HD 和 Apple TV 4K（所有型号）
• visionOS 2.3 -Apple Vision Pro
• watchOS 11.3 - Apple Watch Series 6 及更高版本

与通常情况一样，目前尚不清楚该漏洞在实际攻击中是如何被利用的，被谁利用，以及谁可能是攻击目标。苹果尚未将这一漏洞的发现归功于安全研究人员。

此次更新还解决了 AirPlay 中的五个安全漏洞，这些漏洞均由 Oligo Security 研究员 Uri Katz 报告，攻击者可以利用这些漏洞在某些条件下导致系统意外终止、拒绝服务 (DoS) 或任意代码执行。

谷歌威胁分析小组 (TAG) 发现并报告了 CoreAudio 组件中的三个漏洞 (CVE-2025-24160、CVE-2025-24161 和 CVE-2025-24163)，这些漏洞在解析特制文件时可能会导致应用程序意外终止。

CVE-2025-24085 已被积极利用，建议 Apple 设备用户应用补丁以防范潜在威胁。