|
苹果公司于12月27日发布了紧急安全更新,以修复两个已被骇客积极用于「高度针对性攻击」的零日漏洞。
「零时差漏洞」(Zero-day vulnerability)是指软体中已被发现但开发者尚未修复的安全缺陷。由于开发者在漏洞曝光时拥有「零时差」时间来准备对策,骇客可以利用此视窗期对未更新的系统发动攻击。
网路安全专家库尔特·克努特森(Kurt Knutsson)在福克斯新闻的报导指出,苹果(Apple)将此次威胁描述为针对特定个人的「极其复杂的攻击」。
虽然官方尚未确认受害者身份,但其攻击范围的局限性强烈暗示这属于间谍软体层级的操作,而非大规模的普通网路犯罪。
WebKit漏洞及其风险
本次修复的两个漏洞-CVE-2025-43529与CVE-2025-14174均存在于WebKit引擎中。由于WebKit是Safari以及iOS系统上所有浏览器的核心架构,使用者只需造访一个恶意网页就可能触发攻击。
苹果公司证实,CVE-2025-43529是一个「释放后使用」(use-after-free)漏洞,可导致装置在处理恶意Web内容时执行任意程式码。
该漏洞由苹果与Google(Google)威胁分析小组共同发现。这类跨巨头合作发现的漏洞,通常被视为国家级或商业间谍软体活动的强烈讯号。
受影响设备与修复版本
苹果已在其全线作业系统中推送了修补程式。受影响设备涵盖了目前市场上绝大多数活跃设备,包括iPhone 11及更新机型、各代iPad Pro及iPad Air等。
使用者应立即更新至以下版本以确保安全:
iOS 26.2与iPadOS 26.2
macOS Tahoe 26.2
Safari 26.2
watchOS、tvOS和visionOS的相应版本。
专家建议与防护措施
克努特森建议,面对这类极具针对性的威胁,使用者应采取以下六项行动:
即刻安装更新: 零时差攻击依赖使用者执行旧软体的视窗期。
警惕不明连结: 避免点选透过简讯或第三方社群软体(如 WhatsApp、Telegram)发送的随机连结。
部署防毒工具: 使用专业软体辨识并拦截钓鱼邮件。
开启「锁定模式」: 高风险群体(如记者、活动人士)应考虑启用苹果的「锁定模式」(Lockdown Mode)。
减少个人资料暴露: 缩减网路上可查阅的个人隐私资料,降低被攻击者选中作为目标的风险。
留意设备异常: 若设备出现不明原因的发热、崩溃或电量异常消耗,应立即检查系统状态。
这已是苹果在2025年内修复的第七个已被利用的零日漏洞。苹果敦促所有用户,特别是面临高风险针对性威胁的族群,应尽快完成系统更新。
苹果已在其全线作业系统中推送了修补程式。
阅读: 1089026
| 
