官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
苹果公司已针对其操作系统发布安全更新,修复字体解析器组件中存在的一个漏洞。该漏洞可能导致恶意字体使应用程序崩溃或损坏进程内存。
漏洞详情
该漏洞编号为(CVE-2025-43400),影响范围广泛,包括最新发布的macOS Tahoe和iOS 26系统,以及多个旧版本。漏洞本质上是FontParser组件中的越界写入问题,这类内存安全缺陷会导致程序向已分配缓冲区之外写入数据,从而引发不可预测的行为。
攻击者可通过在文档、电子邮件或网页中嵌入特制字体来利用此漏洞。当用户与这些内容交互时,存在缺陷的字体解析器组件可能被触发,进而导致应用程序终止或内存损坏。
修复措施
苹果公司通过改进边界检查机制解决了该问题,确保软件在处理字体数据时严格限定在其指定的内存空间内。根据苹果2025年9月29日发布的安全公告,目前尚未发现该漏洞在野被利用的实例。
潜在风险
目前尚不清楚该漏洞是否可用于实现任意代码执行(这将构成更严重的威胁)。但拒绝服务攻击或内存损坏的可能性使其成为需要紧急处理的关键问题。此次安全修复影响众多苹果产品,凸显了其生态系统中共用代码库的特性。
值得注意的是,虽然苹果同时发布了watchOS和tvOS的更新,但这些更新并未包含针对此漏洞的补丁。强烈建议用户为所有受影响设备安装最新更新以降低潜在风险。
受影响产品及补丁版本
| 产品 | 已修复版本 |
|---|---|
| iOS & iPadOS | 26.0.1 |
| iOS & iPadOS | 18.7.1 |
| macOS Tahoe | 26.0.1 |
| macOS Sequoia | 15.7.1 |
| macOS Sonoma | 14.8.1 |
| visionOS | 26.0.1 |
参考来源:
Apple Font Parser Vulnerability Enables Malicious Fonts to Crash or Corrupt Process Memory
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)