苹果紧急修复 ImageIO 零日漏洞 攻击事件已获实证

苹果公司近日发布两项系统更新 ，苹果用于修复ImageIO框架中一个可能已被用于定向攻击的紧急击事件已零日漏洞（zero-day vulnerability）。编号为CVE-2025-43300的修复漏洞在iOS 16.7.12和iPadOS 16.7.12版本中得到修复 ，该漏洞可能导致苹果手机在处理恶意文件时出现内存损坏。日漏

高危漏洞无缓解措施

苹果在周一发布的洞攻安全公告中指出，该漏洞源于越界写入（out-of-bounds write）问题。获实这家iPhone制造商表示："苹果已收到报告 ，苹果该漏洞可能已被用于针对特定个体的亿华云紧急击事件已高度复杂攻击。"由于缺乏临时解决方案  ，修复苹果建议所有用户立即安装iOS 16.7.12和iPadOS 16.7.12更新。日漏

此次更新覆盖新旧款iPhone、洞攻iPad及相关设备 ，获实包括未运行最新版操作系统的苹果机型 。鉴于该漏洞可能已被实际利用 ，紧急击事件已苹果特别警告所有用户（尤其是修复旧机型持有者）应立即安装补丁。源码库

补丁向后兼容旧设备

CVE-2025-43300漏洞被评定为严重级别（CVSS评分8.8/10） ，苹果已于上月通过iOS 18.6.2和iPadOS 18.6.2进行修复。本周一，鉴于活跃攻击报告，苹果将该补丁扩展到更早的生命周期终止（EOL）版本。

受影响的ImageIO框架是iOS/iPadOS应用中负责读写和处理图像的核心组件 。服务器租用当系统处理特定恶意图像文件时，由于现有边界验证不足
，会导致越界写入操作
。苹果表示修复方案已通过改进框架边界检查机制来解决此问题。此次获得16.7.12更新的设备包括iPhone 8/8 Plus/X 、第五代iPad及早期iPad Pro机型
。

虽然苹果未公开攻击技术细节 ，但此类漏洞利用通常出现在"水坑攻击"（Watering-hole）、"鱼叉式钓鱼"（spear-phishing）或其他针对高风险个体的云计算图像投递攻击中 
。

攻击者转向核心图像服务

攻击者似乎正将目标转向核心系统软件中的图像处理模块，而非明显的网络服务或应用。上周三星修复的libimagecodec.quram.so图像库高危漏洞（CVE-2025-21043）就允许通过特制图像实现零交互远程代码执行
 。

由于图像解析框架深度集成于设备各项功能（从信息处理到媒体库），此类漏洞可潜伏在看似无害的操作中。源码下载安全专家建议用户不仅需要更新手机和平板，还应升级所有使用ImageIO或同类图像处理模块的关联设备。鉴于ImageIO属于核心框架且无法禁用或替换，安装更新是唯一有效的缓解措施。

2025年至今苹果已修复8个零日漏洞，超过2024年全年总数（6个）
。一年前该公司曾修复包括CVE-2023-32434和CVE-2023-32435在内的模板下载20个漏洞，这些漏洞据称被用于针对俄罗斯的"三角测量行动"间谍活动。