Apple 已在其全系列操作系统中推出安全更新,以修复字体解析器(Font Parser)组件中的一个漏洞。该漏洞可能让恶意字体导致应用崩溃或破坏进程内存。
此漏洞编号为 CVE-2025-43400,影响范围广泛,涵盖新发布的 macOS Tahoe、iOS 26 以及多个旧版本系统。
该漏洞是 FontParser 中的 “越界写入”(out-of-bounds write)问题。这类内存安全缺陷会使程序将数据写入超出已分配缓冲区的范围,进而导致不可预测的运行行为。
攻击者可通过以下方式利用该漏洞:
-在文档、电子邮件或网页中嵌入特制字体。
-当用户与这些内容交互时,易受攻击的字体解析器组件可能被触发。
-最终可能导致应用终止运行或内存被破坏。
Apple 已通过 “改进边界检查” 修复了该问题,确保软件在处理字体数据时,始终在其指定的内存空间内运行。
根据 Apple 于 2025 年 9 月 29 日发布的安全公告,目前尚无该漏洞在实际环境中被利用的已知案例。
目前尚不清楚该漏洞是否可被用于 “任意代码执行”—— 这是一种威胁更为严重的攻击方式。但即便如此,其可能引发的 “拒绝服务攻击” 或 “内存破坏” 风险,已使其成为必须修复的关键问题。
此次安全修复覆盖了大量 Apple 产品,这也凸显出其生态系统中代码库的共享特性。
尽管 Apple 同时为 watchOS 和 tvOS 发布了更新,但这两个系统的更新并未包含该漏洞的补丁。因此,强烈建议用户为所有受影响的设备安装最新更新,以降低潜在风险。
资讯来源:cybersecuritynews
转载请注明出处和本文链接
﹀
球分享
球点赞
球在看
点击阅读原文查看更多