周一,苹果推出了紧急安全更新,以修复 iOS 和 iPadOS 中的一个关键零日漏洞,该漏洞已被积极修复。被剥削在极其复杂的攻击。
这个高度零日漏洞(编号为 CVE-2025-24200)是 Apple iOS 和 iPadOS 中的一个授权问题,可能允许物理攻击者在锁定设备上禁用 USB 限制模式。
换句话说,此漏洞可能允许复杂的物理攻击绕过锁定的 iOS 或 iPadOS 设备上的 USB 限制模式。
对于那些不知道的人来说,Apple 的 USB 限制模式是 iOS 11.4.1 中引入的一项安全功能,用于防止通过 USB 配件未经授权访问 iPhone 或 iPad。
启用后,如果设备在过去一小时内未解锁,则此模式会阻止插入 Lightning 端口的 USB 配件与设备建立数据连接。
这可以防止通过闪电端口连接的黑客工具绕过密码和加密。
与此同时,苹果公司已经承认了这个问题,并通过改进状态管理修复了该漏洞。
“物理攻击可能会禁用锁定设备上的 USB 限制模式。苹果公司获悉一份报告称,该问题可能已被利用,对特定目标个人进行极其复杂的攻击,”该公司在公告中写道[(1),(2)]周一发表。
这家库比蒂诺巨头称赞多伦多大学芒克学院公民实验室的安全研究员 Bill Marczak 发现了该漏洞并向苹果报告。
CVE-2025-24200 漏洞影响了广泛的 Apple 设备,包括:
- iPhone XS 及更新机型、iPad Pro 13 英寸、iPad Pro 12.9 英寸第 3 代及更新机型、iPad Pro 11 英寸第 1 代及更新机型、iPad Air 第 3 代及更新机型、iPad 第 7 代及更新机型以及 iPad mini 第 5 代及更新机型
- iPad Pro 12.9 英寸第二代、iPad Pro 10.5 英寸和 iPad 第六代
苹果通过发布软件更新解决了上述漏洞 -iOS 18.3.1、iPadOS 18.3.1, 和iPadOS 17.7.5- 改进了内存管理。
虽然苹果尚未提供有关如何利用上述漏洞的任何信息,但它强烈敦促其 iOS 和 iPadOS 用户立即将其设备更新到最新版本,以减轻潜在的安全威胁。
此外,启用自动更新可确保您立即收到设备上的未来补丁。
避免点击可疑链接,仅从可信来源下载应用程序,以降低漏洞风险。
有关 iPhone 或 iPad 上的软件更新,请访问设置>一般的>软件更新> 检查更新并安装。
