本周一，苹果发布了一项紧急安全更新，修复了iOS和iPadOS中的一个安全漏洞。该漏洞已被黑客在现实中利用。

漏洞详情与影响

该漏洞的CVE编号为CVE-2025-24200，被描述为一个授权问题，可能导致恶意攻击者关闭锁定设备上的USB限制模式，进而发动网络物理攻击。这意味着攻击者需要物理接触设备才能利用该漏洞。

USB限制模式最早于iOS 11.4.1中引入，其主要功能是：如果设备在过去一小时内未被解锁且未连接到配件，系统将阻止其与任何连接的配件进行通信。这一功能被视为一项安全措施，旨在防止执法机构常用的数字取证工具（如Cellebrite或GrayKey）未经授权访问被没收的设备并提取敏感数据。

苹果表示，该漏洞已通过改进状态管理得到修复，但并未透露更多细节。不过，苹果承认“已收到报告，该漏洞可能已被用于针对特定目标的极其复杂的攻击。”

多伦多大学蒙克学院公民实验室的安全研究员Bill Marczak因发现并报告该漏洞而获得认可。

受影响设备与更新

此次更新适用于以下设备和操作系统：

• iOS 18.3.1和iPadOS 18.3.1：iPhone XS及更新机型、iPad Pro 13英寸、iPad Pro 12.9英寸第三代及更新机型、iPad Pro 11英寸第一代及更新机型、iPad Air第三代及更新机型、iPad第七代及更新机型，以及iPad mini第五代及更新机型。
• iPadOS 17.7.5：iPad Pro 12.9英寸第二代、iPad Pro 10.5英寸，以及iPad第六代。

苹果零日漏洞的广泛利用

数周前，苹果刚刚修复了另一个安全漏洞，即Core Media组件中的一个释放后使用漏洞（CVE-2025-24085）。该漏洞已在iOS 17.2之前的版本中被利用。

近年来，苹果软件中的零日漏洞主要被商业监控软件供应商武器化，用于部署复杂的程序，从受害者设备中提取数据。例如，NSO集团的Pegasus被宣传为“拯救生命的技术”，旨在打击严重犯罪活动，解决所谓的“Going Dark”问题。然而，这些工具也被滥用于监视民间社会成员。

NSO集团多次重申，Pegasus并非大规模监控工具，其授权对象为“经过审查的合法情报和执法机构”。在2024年的透明度报告中，这家以色列公司表示，其服务对象包括31个国家的54家客户，其中23家为情报机构，另有23家为执法机构。

参考来源：

Apple Patches Actively Exploited iOS Zero-Day CVE-2025-24200 in Emergency Update

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途，否则一切后果请用户自负。

本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序，请支持正版，购买注册，得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解！

程序来源网络，不确保不包含木马病毒等危险内容，请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱：4ablog168#gmail.com（#换成@）