请升级：苹果 iOS 26.2 正式版修复 25 个漏洞，谷歌、字节跳动、阿里巴巴等团队贡献

科技媒体 Appleinsider 今天（12 月 13 日）发布博文，报道称苹果发布 iOS 26.2、iPadOS 26.2 及 macOS Tahoe 26.2 系统，共计修复了 25 个安全漏洞，并推荐所有用户立即升级。

在苹果本次修复的漏洞中，最值得关注的，是 CVE-2025-43529 和 CVE-2025-14174 两个 WebKit 漏洞，由谷歌威胁分析小组（Google Threat Analysis Group）发现。

苹果官方已确认，现有证据表明有黑客利用这两个漏洞，可以对旧版 iOS 用户发起极为复杂的定向攻击。新版本通过改进内存管理和验证机制，彻底阻断了恶意网页内容触发“任意代码执行”的风险。

针对 App Store ，苹果公司采取了额外的限制措施来解决一个权限问题，该问题允许应用程序访问敏感的支付令牌。这个漏洞的编号为 CVE-2025-46288，现已修复，它是由字节跳动 IES 红队的 floeki 和 Zhongcheng Li 发现的。

苹果在此次更新中修复了一处严重的内核级整数溢出漏洞（CVE-2025-46285），攻击者此前可通过该漏洞诱导系统崩溃或获取 Root 权限。该漏洞由阿里巴巴集团的 Kaitao Xie 和 Xiaolong Bai 发现并提交，苹果工程师通过引入 64 位时间戳技术，从底层逻辑上消除了这一隐患。

援引博文介绍，针对 AppleJPEG、Foundation 框架及多点触控（Multi-Touch）组件中存在的内存破坏问题，系统也加入了更严格的输入验证与边界检查机制，进一步夯实了操作系统的“地基”。

针对用户感知极强的隐私痛点，iOS 26.2 修复了一个允许非授权访问“已隐藏”相册的配置漏洞（CVE-2025-43428），该漏洞由研究人员 Michael Schmutzer 发现并报告。

同时，针对 App Store 存在的权限提升问题（CVE-2025-46288），苹果实施了额外的限制措施，防止恶意应用窃取敏感的支付令牌。对于屏幕使用时间（ScreenTime）功能，新版本也通过改进数据编校，堵住了应用窃取 Safari 浏览记录的后门。

在通讯安全领域，iOS 26.2 重点加强了对 FaceTime 的状态管理。此前存在的界面逻辑缺陷可能允许攻击者伪造来电显示 ID（Caller ID），甚至在远程控制设备时无意泄露密码字段。

更新后的系统通过优化状态管理逻辑（CVE-2025-46287），有效遏制了此类社会工程学攻击的发生。同时，iMessage 和电话应用也分别通过增强隐私控制和权限检查，修复了可能导致信息泄露的若干缺陷。