苹果周一发布了紧急安全更新,以修复iOS和iPados的漏洞,被确定为 CVE-2025-24200,在野外被积极利用。该缺陷提出了一个授权问题,该问题可以允许在锁定设备上进行物理访问权限的USB限制模式,这是网络物理攻击的一部分。
苹果发布紧急更新以修复iOS漏洞
USB限制模式,在iOS 11.4.1中引入 预防 iOS和iPados设备在上一个小时内没有解锁和连接时与配件通信。此功能旨在保护设备免受执法部门经常使用的数字取证工具(例如Cellebrite和GrayKey)的未经授权访问。
苹果证实,已经意识到报告表明,这种脆弱性可能是在高度复杂的针对特定有针对性人士的高度复杂攻击中被利用的。根据苹果的咨询,尽管进一步的技术细节仍未公开,但该缺陷已得到改善的国家管理。
多伦多大学公民实验室的安全研究人员比尔·马卡克(Bill Marczak)发现并报告了脆弱性。更新的软件可用于以下设备:
- iOS 18.3.1和iPados 18.3.1:iPhone XS及以后,iPad Pro 13英寸,iPad Pro 12.9英寸第三代及以后,iPad Pro 11英寸第一代及以后,iPad Air第三代及以后的iPad Air,iPad第7代,然后是更高版本稍后。
- iPados 17.7.5:iPad Pro 12.9英寸第二代,iPad Pro 10.5英寸和iPad第六代。
该版本是针对不同的安全漏洞的最新修复程序 –CVE-2025-24085,核心媒体组件中的无用错误 – 在较早的iOS版本中被确定为被识别。此外,监视供应商经常部署Apple软件中的零日漏洞,以从设备折衷的设备中提取数据。
NSO Group的Pegasus等商业上市的工具要求执法方案,同时也面临着侵入性实践的审查。 NSO集团坚持认为,Pegasus不是为大规模监视而设计的,并且专门获得审查机构的许可。
USB限制模式对于最大程度地减少与通过设备端口的物理攻击相关的风险至关重要。如果将设备锁定一个多小时,则Apple会禁用其闪电或USB端口,以阻止连接的配件的潜在漏洞。
国家标准研究所将新修补的漏洞描述为需要国家管理层改进的授权问题。苹果指出,物理攻击可能会在锁定设备上禁用USB限制模式,并承认对其在目标攻击中剥削的担忧。
Marczak特别强调了此更新的批判性质,敦促用户升级到iOS 18.3.1,以保护这些漏洞。用户可以在软件更新下通过其设备设置找到更新。
对于不受缺陷和运行较旧iOS版本影响的设备,苹果没有发布更新,因为该公司继续优先考虑更新的操作系统,从而增强了及时更新在打击数字威胁景观方面的重要性。
特色图片来源: 威廉·胡克/Unsplash
