|
蘋果公司於12月27日發布了緊急安全更新,以修復兩個已被駭客積極用於「高度針對性攻擊」的零日漏洞。
「零時差漏洞」(Zero-day vulnerability)是指軟體中已被發現但開發者尚未修復的安全缺陷。由於開發者在漏洞曝光時擁有「零時差」時間來準備對策,駭客可以利用此視窗期對未更新的系統發動攻擊。
網路安全專家庫爾特·克努特森(Kurt Knutsson)在福克斯新聞的報導指出,蘋果(Apple)將此次威脅描述為針對特定個人的「極其複雜的攻擊」。
雖然官方尚未確認受害者身份,但其攻擊範圍的局限性強烈暗示這屬於間諜軟體層級的操作,而非大規模的普通網路犯罪。
WebKit漏洞及其風險
本次修復的兩個漏洞-CVE-2025-43529與CVE-2025-14174均存在於WebKit引擎中。由於WebKit是Safari以及iOS系統上所有瀏覽器的核心架構,使用者只需造訪一個惡意網頁就可能觸發攻擊。
蘋果公司證實,CVE-2025-43529是一個「釋放後使用」(use-after-free)漏洞,可導致裝置在處理惡意Web內容時執行任意程式碼。
該漏洞由蘋果與Google(Google)威脅分析小組共同發現。這類跨巨頭合作發現的漏洞,通常被視為國家級或商業間諜軟體活動的強烈訊號。
受影響設備與修復版本
蘋果已在其全線作業系統中推送了修補程式。受影響設備涵蓋了目前市場上絕大多數活躍設備,包括iPhone 11及更新機型、各代iPad Pro及iPad Air等。
使用者應立即更新至以下版本以確保安全:
iOS 26.2與iPadOS 26.2
macOS Tahoe 26.2
Safari 26.2
watchOS、tvOS和visionOS的相應版本。
專家建議與防護措施
克努特森建議,面對這類極具針對性的威脅,使用者應採取以下六項行動:
即刻安裝更新: 零時差攻擊依賴使用者執行舊軟體的視窗期。
警惕不明連結: 避免點選透過簡訊或第三方社群軟體(如 WhatsApp、Telegram)發送的隨機連結。
部署防毒工具: 使用專業軟體辨識並攔截釣魚郵件。
開啟「鎖定模式」: 高風險群體(如記者、活動人士)應考慮啟用蘋果的「鎖定模式」(Lockdown Mode)。
減少個人資料暴露: 縮減網路上可查閱的個人隱私資料,降低被攻擊者選中作為目標的風險。
留意設備異常: 若設備出現不明原因的發熱、崩潰或電量異常消耗,應立即檢查系統狀態。
這已是蘋果在2025年內修復的第七個已被利用的零日漏洞。蘋果敦促所有用戶,特別是面臨高風險針對性威脅的族群,應盡快完成系統更新。
蘋果已在其全線作業系統中推送了修補程式。
閱讀: 1089025
| 
