iOS 26.2正式版发布：修复25个漏洞，含谷歌字节等团队贡献

12月13日消息，科技媒体AppleInsider今日（12月13日）发布博文称，苹果公司已正式推送iOS 26.2、iPadOS 26.2及macOS Tahoe 26.2系统更新。本次更新共计修复了25个安全漏洞，并强烈建议所有用户立即升级。

在苹果本次修复的漏洞中，最值得关注的是CVE-2025-43529和CVE-2025-14174这两个WebKit漏洞，它们由谷歌威胁分析小组（Google Threat Analysis Group）率先发现。

苹果方面已确认，现有证据表明已有黑客利用这两个漏洞，对旧版iOS用户发起极为复杂的定向攻击。新版本通过改进内存管理和验证机制，彻底阻断了恶意网页内容触发“任意代码执行”的风险。

针对App Store，苹果公司采取了额外的限制措施来解决一个权限问题，该问题允许应用程序访问敏感的支付令牌。这个漏洞的编号为CVE-2025-46288，现已修复，它是由字节跳动IES红队的floeki和Zhongcheng Li发现的。

苹果在此次更新中还修复了一处严重的内核级整数溢出漏洞（CVE-2025-46285），攻击者此前可通过该漏洞诱导系统崩溃或获取Root权限。该漏洞由阿里巴巴集团的Kaitao Xie和Xiaolong Bai发现并提交，苹果工程师通过引入64位时间戳技术，从底层逻辑上消除了这一隐患。

援引博文介绍，针对AppleJPEG、Foundation框架及多点触控（Multi-Touch）组件中存在的内存破坏问题，系统也加入了更严格的输入验证与边界检查机制，进一步夯实了操作系统的“地基”。

针对用户感知极强的隐私痛点，iOS 26.2修复了一个允许非授权访问“已隐藏”相册的配置漏洞（CVE-2025-43428），该漏洞由研究人员Michael Schmutzer发现并报告。

同时，针对App Store存在的权限提升问题（CVE-2025-46288），苹果实施了额外的限制措施，防止恶意应用窃取敏感的支付令牌。对于屏幕使用时间（ScreenTime）功能，新版本也通过改进数据编校，堵住了应用窃取Safari浏览记录的后门。

在通讯安全领域，iOS 26.2重点加强了对FaceTime的状态管理。此前存在的界面逻辑缺陷可能允许攻击者伪造来电显示ID（Caller ID），甚至在远程控制设备时无意泄露密码字段。

更新后的系统通过优化状态管理逻辑（CVE-2025-46287），有效遏制了此类社会工程学攻击的发生。同时，iMessage和电话应用也分别通过增强隐私控制和权限检查，修复了可能导致信息泄露的若干缺陷。