苹果官方已证实,现有证据显示,有黑客应用这两个马脚,可以或许对旧版iOS用户提议极为复杂的定向进击。不过,新版本体系经由过程改进内存治理和验证机制,彻底杜绝了恶意网页内容触发“随便率性代码履行”的可能性。
值得一提的是,该马脚是由字节跳动IES红队的floeki和Zhongcheng Li发明的。
在App Store方面,苹果公司针对一个权限问题采取了额外限制办法。该权限问题曾致使应用法度榜样可以或许拜访敏感的付出令牌,此马脚编号为CVE - 2025 - 46288,今朝已被成功修复。
除此之外,苹果在此次更新中还修复了一个严重的内核级整数溢出漏洞,编号为CVE - 2025 - 46285。此前,进击者可以或许应用该马脚引诱体系崩溃,甚至获取Root权限。
好在该马脚由阿里巴巴集团的Kaitao Xie和Xiaolong Bai发明并提交,苹果工程师经由过程引入64位时光戳技巧,从底层逻辑层面清除了这一潜在隐患。
发表评论 取消回复