https://secutech.tw.messefrankfurt.com/taipei/zh-tw/programme-events/AIoT_SecurityForum.html
https://secutech.tw.messefrankfurt.com/taipei/zh-tw/programme-events/AIoT_SecurityForum.html

新聞

Apple修補WebKit零時差漏洞,阻擋「極度複雜」攻擊

2025 / 03 / 12
編輯部
Apple修補WebKit零時差漏洞,阻擋「極度複雜」攻擊
Apple日前發布緊急安全更新,修補一個被該公司描述為在「極度複雜」攻擊中被利用的零時差漏洞。

該漏洞被追蹤為CVE-2025-24201,存在於WebKit跨平台網頁瀏覽器引擎中。這個引擎被Apple的Safari網頁瀏覽器及許多在macOS、iOS、Linux和Windows上的其他應用程式和網頁瀏覽器所使用。

「這是對iOS 17.2中已阻擋攻擊的補充修復,」蘋果公司在週二發布的安全公告中表示。「Apple注意到有報告指出,此問題可能已被用於針對iOS 17.2之前版本上特定目標個人的極度複雜攻擊。」

Apple表示,攻擊者可以利用CVE-2025-24201漏洞,通過惡意製作的網頁內容來突破Web Content沙箱限制。

該公司已在iOS 18.3.2、iPadOS 18.3.2、macOS Sequoia 15.3.2、visionOS 2.3.2和Safari 18.3.1中修復了這個超出邊界寫入(out-of-bounds write)問題,改進了檢查機制以防止未經授權的操作。

受影響裝置

受此零時差漏洞影響的裝置範圍相當廣泛,包括新舊型號:
  • iPhone XS及更新機型
  • iPad Pro 13吋、iPad Pro 12.9吋第3代及更新機型
  • iPad Pro 11吋第1代及更新機型
  • iPad Air第3代及更新機型
  • iPad第7代及更新機型
  • iPad mini第5代及更新機型
  • 執行macOS Sequoia的Mac電腦
  • Apple Vision Pro
Apple尚未公開此安全漏洞的發現者,也未發布有關其所提及「極度複雑」攻擊的詳細資訊。儘管這個零時差漏洞可能僅在定向攻擊中被利用,但強烈建議用戶儘快安裝今日的安全更新,以阻止潛在的持續攻擊嘗試。

自今年年初以來,Apple已修復了三個零時差漏洞,第一個在1月(CVE-2025-24085),第二個在2月(CVE-2025-24200)。去年,該公司修補了六個被利用的零時差漏洞,而在2023年,Apple總共修補了多達20個在攻擊中被利用的零時差漏洞。

本文轉載自bleepingcomputer。