FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

漏洞技术细节

苹果公司近日发布iOS和macOS系统更新，用于修复字体处理组件中存在的中危漏洞（CVE-2025-43400）。该漏洞可能引发拒绝服务或内存损坏风险。该漏洞属于操作系统FontParser组件中的越界写入（out-of-bounds write）问题，当程序向分配的内存缓冲区之外写入数据时，可能导致相邻内存损坏，进而引发程序崩溃、异常行为，甚至允许攻击者执行任意代码。

安全公告明确指出："处理恶意构造的字体文件可能导致应用程序意外终止或进程内存损坏。本次通过改进边界检查机制修复了越界写入问题。"

受影响设备范围

苹果已针对以下系统版本发布补丁：

• iOS/iPadOS 26.0.1及18.7.1
• macOS 26.0.1、15.7.1和14.8.1
• visionOS 26.0.1

具体受影响设备包括：

• iPhone 11及后续机型
• 第三代12.9英寸及后续iPad Pro
• 第一代11英寸及后续iPad Pro
• 第三代及后续iPad Air
• 第八代及后续iPad
• 第五代及后续iPad mini

攻击潜在影响

Malwarebytes分析报告指出："虽然字体文件通常是安全的标准文件，但攻击者可利用此漏洞构造特殊字体文件，当应用程序或系统进程加载该恶意字体时，可能触发内存损坏或崩溃。最严重情况下，攻击者可远程执行恶意代码并控制设备。由于字体文件被广泛使用且常在后台静默处理，此类漏洞为攻击者提供了重要的入侵途径。"

香港计算机紧急应变中心（HKCERT）确认该漏洞可被远程攻击者利用。目前尚未发现该漏洞在野利用的证据，建议用户立即更新设备系统。

参考来源：

Apple urges users to update iPhone and Mac to patch font bug

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）