吳明宜蘋果本周釋出 iOS 、 iPadOS 、 macOS Sequoia 、 tvOS 及 visionOS 安全更新,以解決 2 個遭到精準攻擊的漏洞。
這波釋出的是 iOS 18.4.1 、 iPadOS 18.4. 、 tvOS 18.4.1,macOS Sequoia 15.4.1 及 visionOS 2.4.1 。 iOS 18.4.1 適用於 iPhone XS 以上。
遭到濫用的 2 個漏洞分別是 CVE-2025-31200 及 CVE-2025-31201 。 CVE-2025-31200 為 CoreAudio 框架的記憶體毁損漏洞,可在處理惡意媒體檔案的音訊串流時,允許惡意程式碼執行,風險值為 CVSS 7.5 。 CVE-2025-31201 為 RPAC 元件漏洞,可讓駭客繞過 Pointer Authentication 得以任意讀取和寫入檔案。
這 2 項漏洞皆為蘋果研究人員發現,而 Google 威脅分析小組 (Google Threat Analysis Group, TAG) 也通報了 CVE-2025-31200 。蘋果公告指出,已獲悉 2 個漏洞「被濫用以針對特定個人 iOS 裝置發動極複雜攻擊」,呼籲用戶儘速將裝置升級到最新版本。
連同這 2 個漏洞,從今年初以來,總計蘋果共解決了 5 個已遭攻擊的零時差漏洞。前 3 個漏洞分別是 CVE-2025-24085:Core Media 元件中的使用已釋放記憶體 (use-after-free) 漏洞 (CVSS score: 7.8),可允許已安裝在裝置上的惡意程式提升權限。 CVE-2025-24200:輔助程式元件中的授權漏洞 (CVSS score: 4.6),可讓攻擊者關閉鎖定裝置上的限制模式 (Restricted Mode) 。 CVE-2025-24201,WebKit 元件中的越界寫入 (out-of-bounds writes) 漏洞 (CVSS score: 7.1),可讓惡意網頁內容突破 Web Content 沙箱,而在作業系統上執行。