吳明宜蘋果 (Apple) 上週正式發布 iOS 、 iPadOS 26.2 及 macOS 、 tvOS 、 watchOS 、 visionOS 與 Safari 等一系列更新,目的為修補多項安全漏洞,其中包括兩個已知發生攻擊活動的零時差漏洞。
這兩項關鍵漏洞皆存在於 WebKit 核心,編號分別為 CVE-2025-43529 及 CVE-2025-14174 。其中,CVE-2025-43529 屬於「釋放後使用」(use-after-free) 漏洞,當使用者瀏覽器造訪惡意網頁內容時,可能導致任意程式碼執行。另一項 CVE-2025-14174(CVSS 評分:8.8)則會在造訪惡意網頁時引發記憶體損毀。
蘋果官方指出,這兩項漏洞可能已被用於針對使用舊版 iOS 裝置特定對象的「極端複雜攻擊」中。
值得注意的是,CVE-2025-14174 同時也是 Google 上週針對 Chrome 釋出更新所修補的漏洞之一。 Google 表示,該漏洞位於 Chrome 開原函式庫 ANGLE(Almost Native Graphics Layer Engine) 中的 Metal renderer 。此漏洞是由蘋果安全工程與架構 (SEAR) 團隊及 Google 威脅分析小組 (TAG) 共同發現。
由於這兩個漏洞直接影響 WebKit 引擎,這意味著在 iOS 及 iPadOS 中所有使用 WebKit 的第三方瀏覽器,包含 Chrome 、 Microsoft Edge 、 Firefox 等,都可能遭利用於「傭兵間諜軟體」(mercenary spyware) 的攻擊。
除了上述零時差漏洞,其他已修補的高風險漏洞還包括 CVE-2025-46285,攻擊者可利用此漏洞將應用程式權限提升至 root 權限。此外,WebKit 修補項目還包含記憶體處理錯誤、釋放後使用、緩衝區溢位等問題,這些問題可能在存取惡意網頁內容時導致 Safari 程式崩潰。
在中度風險漏洞方面,App Store 的 CVE-2025-46288 可能讓惡意程式存取支付 Token;Messages 的 CVE-2025-46276 則可能讓惡意程式存取使用者訊息,造成資訊外洩。 Photos 應用程式中的 CVE-2025-45428 可能讓應用程式在特定條件下,無須驗證即可查看隱藏相片。而 FaceTime 的 CVE-2025-43542 則可能在遠端控制手機時,意外顯示 FaceTime 密碼欄位。
本次更新亦修補了其他應用程式或元件的漏洞,範圍涵蓋 Icons 、通話 (Telephony) 、 MediaExperience 、 Foundation Spellcheck API 、 Foundation 記憶體、 libarchive 以及 Multi-Touch/HID 等。
本波安全修補適用對象包含: iOS 26.2/iPadOS 26.2 、 iOS 18.7.3/iPadOS 18.7.3 、 macOS Tahoe 26.2 、 tvOS 26.2 、 watchOS 26.2 、 visionOS 26.2,以及適用於 macOS Sonoma/macOS Sequoia 版的 Safari 26.2 。
來源:蘋果