Apple 修復 iOS 裝置中的關鍵零日漏洞
在最近發布的文件中,蘋果確認發現了兩個影響 iOS 裝置的重大零日漏洞,這些漏洞很可能在實際場景中被利用。這項發現凸顯了針對特定個人而非一般大眾的高階網路威脅的潛在風險。
漏洞的性質
這些漏洞與 CoreAudio 和 RPAC 有關,它們是 iOS 架構深處運行的關鍵內部框架。蘋果將利用這些漏洞的攻擊描述為“極其複雜”,與以前的有針對性的間諜軟體操作案例相似,讓人想起臭名昭著的 Pegasus 軟體的案例。
漏洞詳情
第一個漏洞被標識為CVE-2025-31200,與 CoreAudio 有關。蘋果解釋說,「處理惡意製作的媒體檔案中的音訊串流可能會導致程式碼執行。」為了解決這個問題,該公司實施了一個修復程序,重點是透過改進邊界檢查來增強記憶體損壞管理。
第二個漏洞被追蹤為CVE-2025-31201,與低階安全架構元件 RPAC 有關。該問題允許具有存取權限的攻擊者繞過指標身份驗證(一種旨在防止基於記憶體的攻擊的機制)。蘋果的補救措施包括徹底刪除存在漏洞的程式碼,這顯示了漏洞的嚴重性。
影響與因應
值得注意的是,除非絕對必要,蘋果通常不會公開承認主動利用漏洞。他們對指明具體目標或提供詳盡細節的謹慎態度反映了一種管理敏感資訊的協議,直到可以安全地披露為止。
這些公告的時機,特別是在即將到來的 WWDC 之前謹慎推出更新,表明蘋果的目標是解決這些緊迫的安全問題,然後將注意力轉向 iOS 19 中預期的新功能,例如重新設計的用戶界面和增強的 Siri 功能。
利用漏洞的歷史
這項發現並非個案;蘋果設備先前曾成為秘密攻擊的受害者。例如,2021 年臭名昭著的 FORCEDENTRY iMessage 漏洞允許在沒有用戶互動的情況下安裝間諜軟體,凸顯了生態系統中持續存在的風險。
可用更新
蘋果已確認這些漏洞已在 iOS 和 iPadOS 18.4.1 版本中解決,強烈建議用戶及時安裝,尤其是使用 iPhone XS 或更高型號或相容 iPad 的用戶。此外,使用者可以在 tvOS 18.4.1、macOS Sequoia 15.4.1 和 VisionOS 2.4.1 的更新中找到修復。
發佈留言