这家科技巨头发布了一个重要的安全套件来修补黑客积极利用的漏洞。该措施旨在堵住浏览引擎中的漏洞,这些漏洞可能允许在该品牌的移动设备和计算机上远程安装恶意软件。该更新可帮助用户减轻与处理网络内容相关的严重风险,确保设备上存储的个人数据的完整性。
网络安全专家发现,这些缺陷允许执行任意代码,这实际上使攻击者可以在未经所有者同意的情况下部分或完全控制系统。该修复程序在全球范围内分发,以防止数字间谍活动继续使用这些网关来损害特定目标(例如记者和活动人士)的隐私。
WebKit 引擎中的严重漏洞
此次更新的重点在于 WebKit,它是为 Safari 浏览器提供支持的渲染引擎,也是该公司移动生态系统中启用的所有浏览器的基础。官方编号为 CVE-2025-43529 和 CVE-2025-14174 的缺陷涉及设备处理恶意 Web 内容时出现的内存管理问题。当访问专门用于攻击的页面时,系统可能会发生缓冲区溢出,从而为外部命令的注入开辟道路。
这些都是“零日”缺陷,这意味着网络犯罪分子在系统开发人员创建防御之前就发现并利用了该错误,这一事实放大了情况的严重性。官方认识到这些漏洞可能已在实际攻击中被利用,从而加快了软件发布计划,跳过了传统的冗长的 Beta 测试步骤,优先考虑立即屏蔽操作系统。
受影响的设备和可用版本
此次安全修复的范围非常广泛,涵盖了最新的产品线,并为旧型号提供了扩展支持。对于拥有较新硬件的用户,iOS 26.2 现在可供下载和安装。该软件包还包括适用于平板电脑的 iPadOS 和适用于 Mac 系列电脑的 macOS Tahoe 26.2,确保生态系统受到统一保护。
认识到许多消费者仍然使用不支持最新操作系统的设备,iOS 18.7.3 和 iPadOS 18.7.3 已经推出。这一策略可确保 iPhone 15 以及之前的 iPad Pro 和 iPad Air 型号等设备不会受到相同威胁的保护,从而维持对旧硬件的长期支持政策。
攻击和预防机制
这些漏洞中使用的攻击向量特别危险,因为它不需要受害者进行复杂的交互。用户所需要做的就是浏览受感染的网站或接收受操纵的网络数据包,以便激活漏洞。一旦执行,恶意代码可以安装能够监视通信、跟踪位置和访问私人文件的间谍软件,并在后台静默运行。
为了减轻这些风险,该更新对 WebKit 的内存处理实施了更严格的运行状况检查。此外,操作系统加强了进程隔离,使得浏览器很难升级权限以到达系统核心或访问设备上安装的其他银行和社交应用程序的数据。
建议和阻止模式
立即安装补丁是所有用户的默认建议,可以通过系统设置菜单进行。对于认为自己面临雇佣间谍软件针对性攻击的高风险的个人来说,启用“阻止模式”可以提供额外的防御层。此功能严重限制了某些功能,例如预览链接和附件以及执行复杂的 Web 脚本,从而大大减少了黑客可利用的攻击面。
该公司强调,保持软件最新是抵御现代网络犯罪的最有效屏障。随着黑客工具的日益复杂,发现缺陷和大规模利用之间的时间窗口已经缩短,使得应用更新的敏捷性成为个人和企业数字安全的基本习惯。
