iOS 和 iPadOS 18.6 版本发布:安全修复 WebKit、音频处理、媒体解码、网络组件、辅助功能的已知Bug
iOS 18.6 与 iPadOS 18.6 安全更新详解:苹果悄悄修复了哪些问题?
发布日期:2025年7月29日
苹果近日正式发布了 iOS 18.6 和 iPadOS 18.6 系统更新。虽然版本号变化不大,但这次的安全修复内容可不少,涉及了 WebKit、音频处理、媒体解码、网络组件、辅助功能 等多个模块。
出于用户安全考虑,苹果一向秉持“不修复就不公开”的策略,因此本次更新在发布前并未透露相关漏洞细节。下面,我们来看看这次修复了哪些值得关注的问题。
📱 辅助功能(Accessibility)
问题一:VoiceOver 可能会意外读出锁屏密码,泄露隐私
👉 现在通过更合理的逻辑判断修复了这个问题
🔧 漏洞编号:CVE-2025-31229问题二:麦克风或摄像头的隐私指示器有时候不显示
👉 可能让用户误以为摄像头/麦克风没有被调用,现已修复
🔧 漏洞编号:CVE-2025-43217
📎 afclip 文件解析组件
- 问题:打开某些文件可能会导致 App 异常退出
👉 修复了内存处理逻辑
🔧 CVE-2025-43186
🌐 网络与多媒体类修复(你经常用的浏览器、视频播放器等都可能受影响)
CFNetwork:普通用户可能绕过限制更改网络设置(例如 Wi-Fi 配置)
🔧 CVE-2025-43223CoreAudio:伪造音频文件可能会搞崩系统或应用
🔧 CVE-2025-43277CoreMedia:播放恶意视频或音频文件时,可能崩溃或出现内存异常
🔧 CVE-2025-43210CoreMedia Playback:某些 App 可能会偷偷访问用户隐私数据
🔧 CVE-2025-43230
📷 图像与媒体处理
ImageIO:打开特定图片时可能会泄露系统内存数据
🔧 CVE-2025-43226libnetcore/libxml2/libxslt:这些都是系统底层常见的库,处理恶意文件时可能导致内存损坏或崩溃
🔧 代表性漏洞:CVE-2025-43202、CVE-2025-7425、CVE-2025-7424Model I/O:处理 3D 模型、动画等媒体资源时可能被攻击导致崩溃或数据损坏
🔧 涉及多个漏洞,研究人员来自 Trend Micro 等安全团队
✉️ 邮件草稿(Mail Drafts)
- 即便用户关闭了「加载远程图片」设置,某些情况下仍会加载外部内容
👉 有一定隐私风险,已通过状态管理逻辑修复
🔧 CVE-2025-31276
🎮 Metal 图形引擎
- 恶意纹理文件可能导致 App 崩溃
👉 修复了多个内存处理问题
🔧 CVE-2025-43234
🕸 WebKit 浏览器引擎重灾区,多达 10+ 漏洞修复
Safari、App 内浏览器通通用 WebKit 渲染网页,本轮更新中,WebKit 修复了多个严重问题:
地址栏伪造(以假乱真的网站更容易骗你)
🔧 CVE-2025-43228网页可导致敏感信息泄露
🔧 CVE-2025-43227Safari 打开恶意网页崩溃 or 拒绝服务攻击
🔧 多个 CVE 编号(如 43214、43212、43211 等)用于攻击者探测 App 内部状态(间接助力钓鱼或提权攻击)
🔧 CVE-2025-43265最后还有一个 “use-after-free” 类型的内存管理错误,也是安全圈的经典高危漏洞
🔧 CVE-2025-43216
✅ 支持设备清单
本次安全更新适用于以下设备:
- iPhone:XS 及更新机型
- iPad:包含 iPad Pro 全系列(2018 款及以后)、iPad Air 3 代及以后、iPad mini 5 代及以后、iPad 7 代及以后
📌 建议更新至 iOS 18.6 / iPadOS 18.6
虽然 iOS 18.6 / iPadOS 18.6 不是所谓的「重磅大版本」,但对重视隐私和安全的用户来说,这次更新可以说是“看似平静,实则关键”。
建议所有用户尽快更新系统,避免成为黑客眼中的“旧系统靶子”。
如果你是开发者或系统安全相关从业者,详细的 CVE 信息也可以在苹果官方安全页面查看。
📲 建议操作:
前往「设置 - 通用 - 软件更新」一键升级,让你的设备更安全。