一、漏洞详情
Apple ImageIO框架是苹果公司开发的一款用于处理图像文件的软件组件,广泛应用于iOS、iPadOS 和 macOS系统中,为应用程序提供读取和写入多种图像格式的功能。
近日,监测到官方修复Apple DNG图像处理越界写入漏洞(CVE-2025-43300),iOS/iPadOS 18.6.1以前及对应macOS版本中,RawCamera.bundle在解析 DNG 文件时,对 TIFF 元数据标签 SamplesPerPixel 与 JPEG Lossless SOF3段内component count未做一致性校验。当二者数值不符时,系统按SamplesPerPixel分配缓冲区,而解码器却按component count写入数据,导致堆缓冲区溢出。攻击者可以通过诱导受害者打开精心构造的DNG文件触发此漏洞,导致程序崩溃、损坏数据,甚至远程执行任意代码。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
iOS < 18.6.2
iPadOS 18.* < 18.6.2
iPadOS 17.* < 17.7.10
macOS Sequoia < 15.6.1
macOS Sonoma < 14.7.8
macOS Ventura < 13.7.8
三、修复建议
目前 Apple 官方已有可更新版本,建议受影响用户升级至最新版本:
iOS >= 18.6.2
iPadOS 18.* >= 18.6.2
iPadOS 17.* >= 17.7.10
macOS Sequoia >= 15.6.1
macOS Sonoma >= 14.7.8
macOS Ventura >= 13.7.8
