蘋果公司發布緊急安全公告，披露編號為CVE-2025-24200、CVE-2025-24201和CVE-2025-24085的三處高危零日漏洞正被用于復雜網絡攻擊。這些漏洞影響iPhone、iPad、Mac等多款蘋果設備，用戶應立即更新系統以規避安全風險。

正被利用的高危漏洞詳情

(1) CVE-2025-24200：USB限制模式繞過漏洞

首個漏洞CVE-2025-24200屬于授權缺陷，攻擊者可通過物理接觸繞過鎖定設備的USB限制模式。蘋果在公告中指出，該漏洞"可能已被用于針對特定目標人物的高度復雜攻擊"。

該漏洞由多倫多大學蒙克學院公民實驗室的Bill Marczak發現并報告。攻擊者可利用此漏洞在設備鎖定時關閉USB限制模式——這項自iOS 11.4.1引入的安全功能原本可阻止設備在一小時內未解鎖時與配件通信，是防范取證工具的關鍵防護措施。

(2) CVE-2025-24201：WebKit沙箱逃逸漏洞

第二個漏洞CVE-2025-24201存在于Safari瀏覽器引擎WebKit中，該越界寫入漏洞可使惡意網頁內容突破Web內容沙箱限制。蘋果表示這是"對iOS 17.2已攔截攻擊的補充修復"，并確認"可能已在針對iOS 17.2之前版本用戶的復雜攻擊中被利用"。

(3) CVE-2025-24085：CoreMedia權限提升漏洞

第三個零日漏洞CVE-2025-24085是CoreMedia組件中的釋放后使用（use-after-free）漏洞，該框架負責管理蘋果產品的音視頻播放功能。蘋果警告稱"惡意應用可能借此提升權限"，影響范圍涵蓋iOS、iPadOS、macOS、watchOS和tvOS等多款操作系統，主要針對iOS 17.2之前的舊版本系統。

漏洞信息匯總如下：

修復方案

蘋果已為各操作系統發布補丁：

• iPhone/iPad：升級至iOS 18.3/iPadOS 18.3或更高版本
• Mac：安裝macOS Sequoia 15.3或更高版本
• Apple Watch：更新至watchOS 11.3
• Apple TV：升級至tvOS 18.3
• Apple Vision Pro：安裝visionOS 2.3更新

更新步驟：

• 進入設置 > 通用 > 軟件更新
• 建議開啟自動更新功能

防護建議

• 避免安裝不可信應用或內核擴展
• 在兼容設備上啟用鎖定模式以縮減攻擊面
• 定期檢查并立即安裝系統更新

這些零日漏洞的發現表明針對蘋果生態系統的網絡攻擊正變得日益復雜。雖然蘋果的快速響應體現了其對用戶安全的重視，但用戶仍需保持警惕，及時更新設備并遵循網絡安全最佳實踐。