蘋果公司在 12 月 12 日釋出安全更新,修補了兩個 WebKit 瀏覽器引擎的零時差漏洞。這兩個漏洞已被用於針對特定目標的複雜攻擊行動。值得注意的是,其中一個漏洞與 Google 上週修補的 Chrome 漏洞為同一安全問題。
漏洞技術細節
這兩個漏洞編號分別為
CVE-2025-43529 與
CVE-2025-14174,皆位於蘋果的開源網頁瀏覽器引擎 WebKit 中。
CVE-2025-43529 是一個釋放後使用(Use-after-free)漏洞。當瀏覽器處理惡意網頁內容時,可能導致任意程式碼執行(Arbitrary Code Execution)。蘋果已透過改善記憶體管理修補此問題。
CVE-2025-14174 是記憶體損毀(Memory Corruption)漏洞,同樣由處理惡意網頁內容所觸發。蘋果採用改善驗證機制的方式來解決此問題。Google 將此漏洞定義為 Chrome 瀏覽器 Mac 版本中 ANGLE 圖形引擎抽象層的越界記憶體存取(Out of Bounds Memory Access)問題。
跨平台影響範圍
WebKit 是 Safari 瀏覽器以及所有 iOS 與 iPadOS 裝置上瀏覽器的核心引擎,因此這些漏洞的影響範圍相當廣泛。Google 在 12 月 5 日接獲蘋果安全工程與架構團隊(SEAR)以及 Google 威脅分析小組(TAG)的通報後,率先於上週為 Chrome 桌面版釋出修補程式。微軟也在 12 月 11 日為其 Chromium 架構的 Edge 瀏覽器發布修補程式。
蘋果的修補程式涵蓋以下版本:iOS 26.2、iPadOS 26.2、iOS 18.7.3、iPadOS 18.7.3、macOS Tahoe 26.2、tvOS 26.2、watchOS 26.2、visionOS 26.2 及 Safari 26.2。若使用 macOS Sequoia(15 版本)或 macOS Sonoma(14 版本),請升級至最新作業系統版本,並將 Safari 更新至 26.2 版本。
針對性的複雜攻擊
蘋果在安全公告中特別指出,此問題可能已被用於針對 iOS 26 版本之前特定目標的複雜攻擊。自 2021 年起,蘋果開始向遭受間諜軟體攻擊的客戶發送通知。今年 9 月,蘋果揭露另一個零時差漏洞
CVE-2025-43300,該漏洞位於 ImageIO 框架中,同樣被用於複雜攻擊。
美國網路安全暨基礎設施安全局(CISA)已將這兩個漏洞加入已知遭利用漏洞目錄:CVE-2025-14174 於 12 月 12 日加入,CVE-2025-43529 於 12 月 15 日加入。
Rapid7 漏洞情報主管 Douglas McKee 指出,共享圖形元件中的記憶體安全缺陷極具價值。這類漏洞具跨平台特性,可與其他漏洞串連使用並符合 APT 的攻擊模式,包括商業間諜軟體或國家級工具。雖然在缺乏公開指標的情況下不應過度歸因,但供應商的應對方式顯示他們的優先考量:快速修補安全缺口,同時避免公開可能導致更廣泛濫用的技術細節。
用戶防護建議
資安專家強烈建議所有蘋果裝置用戶盡快安裝安全更新,特別是以下族群:
- 高風險目標人士,如記者、人權工作者、政治人物等
- 企業與組織的 iOS、iPadOS 與 macOS 裝置管理者
- 所有使用 Safari 瀏覽器的用戶
攻擊者可能已透過逆向工程分析修補程式,開發新的漏洞利用工具。延遲更新將使裝置面臨更高風險。
本文轉載自 DarkReading、HelpNetSecurity。