【2025年12月28日訊】(記者李言綜合報導)蘋果公司已於週六(12月27日)發布緊急安全更新,以修復兩個已被黑客(駭客)積極用於「高度針對性攻擊」的零日漏洞。
「零日漏洞」(Zero-day vulnerability)是指軟件中已被發現但開發者尚未修復的安全缺陷。由於開發者在漏洞曝光時擁有「零日」時間來準備對策,黑客可以利用此窗口期對未更新的系統發起攻擊。
網絡安全專家庫爾特‧克努特森(Kurt Knutsson)在福克斯新聞的報導指出,蘋果公司(Apple)將此次威脅描述為針對特定個人的「極其複雜的攻擊」。
雖然官方尚未確認受害者身分,但其攻擊範圍的侷限性強烈暗示這屬於間諜軟件級別的操作,而非大範圍的普通網絡犯罪。
WebKit漏洞及其風險
本次修復的兩個漏洞——CVE-2025-43529與CVE-2025-14174均存在於WebKit引擎中。由於WebKit是Safari以及iOS系統上所有瀏覽器的核心架構,用戶僅需訪問一個惡意網頁就可能觸發攻擊。
蘋果公司證實,CVE-2025-43529是一個「釋放後使用」(use-after-free)漏洞,可導致設備在處理惡意Web內容時執行任意代碼。
該漏洞由蘋果與谷歌(Google)威脅分析小組共同發現。這類跨巨頭合作發現的漏洞,通常被視為國家級或商業間諜軟件活動的強烈信號。
受影響設備與修復版本
蘋果已在其全線操作系統中推送了補丁。受影響設備涵蓋了目前市場上絕大多數活躍設備,包括iPhone 11及更新機型、各代iPad Pro及iPad Air等。
用戶應立即更新至以下版本以確保安全:
iOS 26.2與iPadOS 26.2
macOS Tahoe 26.2
Safari 26.2
以及watchOS、tvOS和visionOS的相應版本。
專家建議與防護措施
克努特森建議,面對這類極具針對性的威脅,用戶應採取以下六項行動:
即刻安裝更新: 零日攻擊依賴於用戶運行舊軟件的窗口期。
警惕不明鏈接: 避免點擊通過簡訊或第三方社交軟件(如 WhatsApp、Telegram)發送的隨機鏈接。
部署防病毒工具: 使用專業軟件識別並攔截釣魚郵件。
開啟「鎖定模式」: 高風險群體(如記者、活動人士)應考慮啟用苹果的「鎖定模式」(Lockdown Mode)。
減少個人數據暴露: 縮減網上可查閱的個人隱私資料,降低被攻擊者選中作為目標的風險。
留意設備異常: 若設備出現不明原因的發熱、崩潰或電量異常消耗,應立即檢查系統狀態。
這已是蘋果在2025年內修復的第七個已被利用的零日漏洞。蘋果敦促所有用戶,特別是面臨高風險針對性威脅的人群,應儘快完成系統更新。
.jpg)
.jpg)
