蘋果公司(Apple) 證實又一零時差漏洞遭到惡意利用,該漏洞被用於針對特定目標人士發動「極度複雜的攻擊」,Apple已緊急發布安全更新修補此一重大資安缺陷。
編號為CVE-2025-43300的安全漏洞屬於越界寫入(out-of-bounds write)問題,影響Apple iOS和macOS作業系統的Image I/O框架。當受影響裝置處理惡意圖片檔案時,可能觸發記憶體損毀,進而被攻擊者利用執行任意程式碼。
Apple在安全公告中表示已知悉有報告指出,此漏洞可能已被用於針對特定目標個人的極度複雜攻擊中。這項聲明顯示該漏洞已在實際攻擊中被濫用,且攻擊手法相當高階。
修補版本與適用裝置
目前Apple已透過改善邊界檢查機制修復此漏洞,受影響用戶應立即更新至以下版本:
iOS/iPadOS裝置:
- iOS 18.6.2 和 iPadOS 18.6.2(適用iPhone XS及後續機型、各世代iPad Pro、iPad Air第3代及後續機型等)
- iPadOS 17.7.10(適用iPad Pro 12.9吋第2代、iPad Pro 10.5吋、iPad第6代)
macOS系統:
- macOS Sequoia 15.6.1
- macOS Sonoma 14.7.8
- macOS Ventura 13.7.8
攻擊特徵與威脅評估
雖然Apple聲稱此漏洞為內部發現,但安全研究人員推測攻擊活動具有以下特徵:
高度針對性攻擊: 攻擊者僅針對特定個人發動攻擊,顯示可能用於部署間諜軟體或進行高價值目標滲透。這種攻擊模式通常與國家級威脅行為者或高階犯罪組織相關。
複雜攻擊手法: 透過惡意圖片檔案觸發漏洞的方式,使攻擊具有高度隱蔽性。受害者可能在不知情的情況下,僅透過檢視圖片就遭到入侵。
CVE-2025-43300是蘋果今年修補的第七個遭實際利用的零時差漏洞,顯示針對蘋果產品的零時差攻擊活動持續升溫。今年已修補的其他零時差漏洞包括:CVE-2025-24085、CVE-2025-24200、CVE-2025-24201、CVE-2025-31200、CVE-2025-31201及CVE-2025-43200。
此外,蘋果上個月也修補了Safari瀏覽器中的CVE-2025-6558漏洞,該漏洞同樣遭到零時差攻擊利用。
防護建議
資安專家建議所有蘋果裝置用戶應立即採取以下防護措施:
- 立即更新系統: 儘快安裝最新安全更新,不論是否認為自己可能成為攻擊目標
- 謹慎處理未知圖片: 避免開啟來源不明的圖片檔案,特別是透過電子郵件或訊息收到的檔案
- 啟用自動更新: 確保裝置設定為自動下載並安裝安全更新
- 定期檢查更新: 主動檢查是否有可用的系統更新
儘管此次攻擊似乎僅針對特定個人,但所有用戶都應保持警覺並及時更新系統,以免成為未來攻擊的潛在目標。
建議用戶立即透過「設定」>「一般」>「軟體更新」檢查並安裝最新版本。