苹果发布了iOS 26.2、iPadOS 26.2和macOS Tahoe 26.2系统,修复了25个安全漏洞,并建议所有用户尽快升级。其中最值得关注的是CVE-2025-43529和CVE-2025-14174两个WebKit漏洞,由谷歌威胁分析小组发现。苹果确认有黑客利用这两个漏洞对旧版iOS用户发起复杂定向攻击。新版本通过改进内存管理和验证机制,彻底阻断了恶意网页内容触发“任意代码执行”的风险。
苹果还针对App Store采取了额外限制措施,解决了一个允许应用程序访问敏感支付令牌的权限问题。该漏洞编号为CVE-2025-46288,现已修复,由字节跳动IES红队的floeki和Zhongcheng Li发现。此外,更新中修复了一个严重的内核级整数溢出漏洞(CVE-2025-46285),攻击者此前可通过该漏洞诱导系统崩溃或获取Root权限。该漏洞由阿里巴巴集团的Kaitao Xie和Xiaolong Bai发现并提交,苹果『工程师』通过引入64位时间戳技术消除了这一隐患。
对于AppleJPEG、Foundation框架及多点触控组件中存在的内存破坏问题,系统加入了更严格的输入验证与边界检查机制。iOS 26.2还修复了一个允许非授权访问“已隐藏”相册的配置漏洞(CVE-2025-43428),该漏洞由研究人员Michael Schmutzer发现并报告。苹果实施了额外的限制措施,防止恶意应用窃取敏感的支付令牌。对于屏幕使用时间功能,新版本也通过改进数据编校,堵住了应用窃取Safari浏览记录的后门。
在通讯安全方面,iOS 26.2加强了FaceTime的状态管理。此前存在的界面逻辑缺陷可能允许攻击者伪造来电显示ID,甚至在远程控制设备时无意泄露密码字段。更新后的系统通过优化状态管理逻辑(CVE-2025-46287),有效遏制了此类社会工程学攻击的发生。iMessage和电话应用也分别通过增强隐私控制和权限检查,修复了可能导致信息泄露的若干缺陷。
