苹果近日在多个平台紧急发布安全更新，修复两个影响webkit引擎的高危漏洞：cve-2025-14174 与 cve-2025-43529。

根据苹果官方发布的安全通告，这两个漏洞已在真实攻击场景中被积极利用。攻击者可通过诱导用户访问恶意构造的网页，触发内存损坏或释放后使用（use-after-free）问题，从而实现远程任意代码执行，威胁等级极高。所有依赖WebKit渲染网页内容的设备及应用程序均受影响，包括iPhone、iPad、Mac、Apple TV、Apple Watch以及Apple Vision Pro。目前相关修复已集成至 iOS 26.2、macOS Tahoe 26.2、Safari 26.2，以及同步更新的 iPadOS、tvOS、watchOS 和 visionOS 版本中。苹果强烈建议用户立即安装最新系统更新以规避风险。

从技术细节来看，苹果在安全文档中指出，CVE-2025-43529 和 CVE-2025-14174 均属于典型的释放后使用型内存安全缺陷。当WebKit解析并渲染恶意网页时，可能因对象生命周期管理错误导致内存被重复引用，进而被用于执行攻击者控制的代码。二者共有的关键特征是攻击入口完全依赖浏览器渲染流程——用户仅需打开特定网页即可触发漏洞，无需交互操作，构成典型的“零点击”攻击面。

此外，苹果披露，其中部分漏洞由 Google 的威胁分析小组（Threat Analysis Group）联合苹果安全工程与架构团队（SEAR）共同发现、验证并协同修复。

值得注意的是，CVE-2025-14174 的利用痕迹此前已在 Chromium 项目中被观测到，相关修补涉及 ANGLE 图形抽象层；Google 已在 Chrome 桌面版中同步部署了对应缓解措施。