週一,蘋果推出了緊急安全更新,以修復 iOS 和 iPadOS 中的一個關鍵零日漏洞,該漏洞已被積極修復。被剝削在極其複雜的攻擊。
這個高度零日漏洞(編號為 CVE-2025-24200)是 Apple iOS 和 iPadOS 中的一個授權問題,可能允許物理攻擊者在鎖定設備上禁用 USB 限制模式。
換句話說,此漏洞可能允許複雜的物理攻擊繞過鎖定的 iOS 或 iPadOS 設備上的 USB 限制模式。
對於那些不知道的人來說,Apple 的 USB 限制模式是 iOS 11.4.1 中引入的一項安全功能,用於防止通過 USB 配件未經授權訪問 iPhone 或 iPad。
啟用後,如果設備在過去一小時內未解鎖,則此模式會阻止插入 Lightning 端口的 USB 配件與設備建立數據連接。
這可以防止通過閃電端口連接的黑客工具繞過密碼和加密。
與此同時,蘋果公司已經承認了這個問題,並通過改進狀態管理修復了該漏洞。
“物理攻擊可能會禁用鎖定設備上的 USB 限制模式。蘋果公司獲悉一份報告稱,該問題可能已被利用,對特定目標個人進行極其複雜的攻擊,”該公司在公告中寫道[(1),(2)]週一發表。
這家庫比蒂諾巨頭稱讚多倫多大學芒克學院公民實驗室的安全研究員 Bill Marczak 發現了該漏洞並向蘋果報告。
CVE-2025-24200 漏洞影響了廣泛的 Apple 設備,包括:
- iPhone XS 及更新機型、iPad Pro 13 英寸、iPad Pro 12.9 英寸第 3 代及更新機型、iPad Pro 11 英寸第 1 代及更新機型、iPad Air 第 3 代及更新機型、iPad 第 7 代及更新機型以及 iPad mini 第 5 代及更新機型
- iPad Pro 12.9 英寸第二代、iPad Pro 10.5 英寸和 iPad 第六代
蘋果通過發佈軟件更新解決了上述漏洞 -iOS 18.3.1、iPadOS 18.3.1, 和iPadOS 17.7.5- 改進了內存管理。
儘管蘋果尚未提供有關如何利用上述漏洞的任何信息,但它強烈敦促其 iOS 和 iPadOS 用戶立即將其設備更新到最新版本,以減輕潛在的安全威脅。
此外,啟用自動更新可確保您立即收到設備上的未來補丁。
避免點擊可疑鏈接,僅從可信來源下載應用程序,以降低漏洞風險。
有關 iPhone 或 iPad 上的軟件更新,請訪問設定>一般的>軟件更新> 檢查更新並安裝。
