苹果新版网页版App Store 前端源代码因配置错误被泄露|安卓系统组件中存在严重零点击漏洞，可导致远程代码执行攻击

关键词

数据泄露

近日，苹果发布了经过改版的全新 Apple App Store 网页版，相比旧版本，这次更新最大的变化是支持应用商店首页和搜索功能，用户可以直接在网页上发现和浏览更多应用及游戏。

然而，在发布过程中，苹果工程师未能在生产环境中禁用 SourceMap 功能，导致所有用户均可直接从生产环境下载到网页完整的前端源代码库。这一失误被安全社区和开发者发现，但所泄露的仅为前端代码，不包含任何关键密钥或敏感数据，因此对苹果公司、开发者或用户不会造成实际安全风险或隐私风险。

据开发者 @rxliuli 介绍，他已基于教育目的将完整源代码转存到 GitHub 仓库供开发者学习使用。仓库内容包括完整的 Svelte/TypeScript 源代码、状态管理逻辑、UI 组件、API 集成代码以及路由配置等，方便学习网页前端开发和应用商店架构设计。

尽管泄露风险不大，但对于苹果开发团队而言，这仍属于一次重大失误。在生成环境中禁用 SourceMap 是前端发布的基本操作，这次事件再次提醒团队在上线前需严格检查配置，避免出现类似错误。

GitHub：https://github.com/rxliuli/apps.apple.com

关键词

安全漏洞

谷歌发布了针对 Android 设备的严重安全警报，披露了系统核心组件中的一项零点击漏洞，该漏洞可能被攻击者利用，在无需用户任何操作的情况下远程执行恶意代码。

根据 2025 年 11 月发布的 Android 安全公告，这一漏洞影响多个 Android 开源项目（AOSP）版本，再次凸显了移动操作系统潜在风险。由于智能手机处理着银行凭证、个人通讯等敏感数据，此类漏洞可能对全球数亿用户构成严重威胁。

漏洞详情与风险
该漏洞主要涉及 CVE-2025-48593，一个存在于系统组件中的远程代码执行（RCE）漏洞。由于无需额外权限或用户互动，这类漏洞尤其危险。攻击者可通过精心构造的网络数据包或通过第三方商店分发的恶意应用进行攻击。谷歌将其定为关键级别漏洞，原因在于其可能导致设备完全被控制，包括数据窃取、勒索软件部署，甚至将手机变成僵尸网络节点。该问题在 Android 内部以 bug ID A-374746961 报告，并已在 AOSP 13 至 16 版本中修复。

技术上，这一零点击漏洞源于系统级进程的不当处理，使得在常规操作（如应用启动或后台同步）中可以注入任意代码。尽管漏洞根本原因尚未公开，以避免被滥用，但安全研究人员指出，其与过去 Android 内存损坏漏洞类似，可能导致权限提升。

受影响设备包括运行 Android 10 及以上版本的用户，但老旧设备如果厂商延迟推送更新，仍可能暴露风险。公告还提到同一系统组件中另一个高危漏洞 CVE-2025-48581，它允许恶意应用在获得初步权限后进一步访问敏感功能。

修复与防护建议
用户应立即通过 设置 > 系统 > 系统更新 检查并安装最新系统补丁。谷歌建议应用 2025-11-01 安全补丁版本，该版本已修复上述漏洞。各厂商如三星、Pixel 等也需尽快推送更新，否则可能让数十亿设备暴露在风险中。

文章来源 ：安全圈