在1月27号苹果公司披露并修复了其CoreMedia框架中的零日漏洞，该漏洞目前正在受到攻击。

该漏洞被标记为CVE-2025-24085，该零日漏洞被苹果描述为use-after-free（UAF）漏洞，它允许攻击者提升特权。这个CoreMedia漏洞影响着苹果的iOS、iPadOS、macOS、watchOS、tvOS和visionOS。截至本文发表时，尚未对该漏洞评定CVSS分数。

该公司在一份公告中表示：“苹果知道有报道称，这个漏洞可能已被用于攻击iOS 17.2之前的iOS版本。”

苹果公司在该公告中表示，通过“改进内存管理”，在iOS 18.3、iPadOS 18.3、macOS Sequoia 15.3、watchOS 11.3、tvOS 18.3和visionOS 2.3中已经修复这一漏洞。

在其安全公告中，苹果公司通常仅有关漏洞的有限信息，因此目前我们尚不清楚CVE-2025-24085的威胁活动范围和技术细节。我们也不清楚是谁发现了这个漏洞；该公告的鸣谢部分感谢“Song Hyun Bae（@bshyuunn）和Lee Dong Ha（Who4mI）在CoreMedia Playback问题上提供的协助”，但CVE-2025-24085的条目没有注明任何特定个人。

Informa TechTarget尝试联系苹果公司了解进一步信息，但截至发稿时该公司没有回复。

近年来，苹果解决了大量零日漏洞，其中很多漏洞已被商业间谍软件供应商利用来针对iOS设备。这种威胁活动促使这家科技巨头在2021年对NSO集团提起诉讼，NSO集团可以说是世界上最著名的间谍软件供应商。在9月，苹果撤销了诉讼，因为它不想公开分享其威胁情报和有关其反间谍软件防御的敏感信息。

并非所有最近的零日攻击都是针对苹果移动技术的。11月，该公司披露了两个macOS零日漏洞，标记为CVE-2024-44308和CVE-2024-44309。据SentinelOne和Trellix等网络安全供应商称，这些发现源自由谷歌威胁分析小组的研究人员，与针对macOS的恶意活动的增加相吻合。