Apple 火速推出跨平台緊急更新,修復 WebKit 瀏覽器引擎內兩個關鍵零日漏洞 (CVE-2025-43529、CVE-2025-14174),該漏洞已被證實用於針對特定人士的複雜攻擊。由於 WebKit 深度整合,黑客可透過惡意網頁內容植入代碼。所有 iPhone 11 或更新機型等廣泛設備受影響,用戶應立即更新至 iOS 18.7.3 等最新版本以堵塞安全風險。
即刻【按此】,用 App 睇更多產品開箱影片
Apple 緊急發布跨平台補丁:修復兩項已被高度針對性攻擊利用的零日漏洞
根據 The Cyber Security Hub 報道, 科技巨擘 Apple 本週證實,已緊急發布一項涵蓋全線產品的安全更新,旨在修復兩個關鍵的「零日漏洞」(Zero-Day Flaws)。公司確認,這兩個缺陷已被利用於針對特定個人的複雜現實攻擊中。此次緊急補丁適用於 iOS、iPadOS、macOS、watchOS、tvOS 以及 Safari 瀏覽器。
WebKit 核心缺陷:無需互動即可發動攻擊
這兩個被追蹤為 CVE-2025-43529 和 CVE-2025-14174 的漏洞,均存在於 WebKit 內。WebKit 不僅是 Safari 的驅動引擎,也是許多 Apple 應用程式中處理網頁內容的基礎。由於 WebKit 與設備操作系統深度整合,攻擊者僅需誘使用戶瀏覽惡意編制的網頁內容,便可利用這些弱點,無需任何額外的用戶互動即可執行攻擊 。
技術細節:記憶體處理的嚴重錯誤
根據 Apple 的官方披露,這兩項零日漏洞涉及 WebKit 處理記憶體的方式:
CVE-2025-43529 (Use-After-Free 錯誤): 這是一種「使用後釋放」缺陷,即軟體在記憶體被釋放後仍試圖使用它,從而為攻擊者提供了執行任意代碼的入口。此缺陷由 Google 威脅分析小組(Threat Analysis Group, TAG)識別。
CVE-2025-14174 (記憶體損壞): 這個漏洞涉及「記憶體損壞」,可能允許精心製作的內容破壞設備記憶體的穩定性,繼而導致漏洞被利用。該漏洞的發現歸功於 Apple 與 Google TAG 研究人員的共同努力。
Apple 在官方安全公告中強調,這兩個缺陷「可能已被用於針對運行最新版本前 iOS 的特定目標個人的極其複雜的攻擊中」,表明攻擊性質屬於高精度監控活動。
受影響設備範圍廣泛 呼籲立即更新
此次威脅波及 Apple 眾多行動硬體用戶,包括
- iPhone 11 及後續機型、
- iPad Pro(第三代及後續)、
- iPad Air(第三代及後續)、
- iPad(第八代及後續)
- 以及 iPad mini(第五代及後續)。
為應對此威脅,Apple 已發布一系列修補後的軟體版本,敦促用戶立即安裝:
- iOS 18.7.3 / iOS 26.2、
- iPadOS 18.7.3 / iPadOS 26.2
- macOS Tahoe 26.2、
- OS 26.2(適用於 Apple Watch、tvOS、visionOS)
- 及 Safari 26.2。
業界協調回應:鎖定高精度間諜活動
值得注意的是,Apple 的這次更新緊隨 Google 的同步行動:Google 亦修復了其 Chrome 瀏覽器中與 CVE-2025-14174 相關的零日漏洞。這反映了兩大科技巨頭對活躍利用威脅的共同關注及協調披露機制。
安全專家指出,Google TAG 的介入(該組織專責追蹤國家級相關行為者)暗示這些攻擊可能類似於近年來常見的高精度間諜活動,其目標鎖定在外交官、記者、活動家或企業高管等特定目標,而非一般公眾。
零日漏洞頻發:針對性 iOS 攻擊趨勢持續增長
計入本次事件,Apple 在 2025 年修補的零日漏洞總數已增至至少七個,凸顯了針對性 iOS 攻擊頻率與複雜性的不斷攀升。此前,Apple 已處理了年初的 WebKit 缺陷、涉及核心系統組件的高風險錯誤,以及為舊款設備回溯移植的安全補丁。
網絡安全分析師將此類事件與 2023 年曝光的「Operation Triangulation」等複雜攻擊鏈相提並論,該行動利用多個零日漏洞部署間諜軟體並長期未被發現。雖然當前事件與過去的活動沒有直接關聯,但均突顯了進階威脅行為者針對行動平台的操作模式。
用戶應立即採取行動
儘管 Apple 指出這些零日漏洞主要用於針對性攻擊,但為預防潛在利用和避免新興威脅,強烈建議所有用戶立即安裝最新的安全更新。
用戶可透過導航至 iPhone 或 iPad 上的「設定」>「一般」>「軟體更新」,或在 macOS 上使用「系統偏好設定」來執行更新。對於無法升級至最新操作系統版本的舊設備,Apple 通常會提供獨立的安全補丁。
Source:gearpatrol
【相關報道】
【相關話題】你的資料已在暗網流出?Google 突斬「免費監測」神器 自救必備呢 1 個免費網站
Google 宣布將停用其免費的「暗網監測工具」(Dark Web Report),並直言該功能成效不彰。這項曾為 Gmail 及 Google One 用戶提供的服務,將於明年 2 月 15 日起正式淘汰。公司表明,此舉旨在集中資源,開發更具實質保護作用的用戶安全工具,以應對暗網威脅。
Source: ezone.hk