2025年12月中旬,Apple緊急發布多個作業系統的安全更新,修補兩個WebKit引擎的Zero-Day漏洞(CVE-2025-14174和CVE-2025-43529),這兩個漏洞已被駭客在實際攻擊中利用,影響未知數量的iPhone、iPad、Mac用戶。Apple安全工程團隊與Google威脅分析小組(TAG)聯合發現這些漏洞,初步跡象顯示攻擊活動可能由政府支持的駭客組織策動,凸顯即使是Apple生態系統也面臨高級持續性威脅(APT)的挑戰。
Zero-Day漏洞詳情
兩個CVE漏洞
CVE-2025-14174
- 漏洞類型:WebKit引擎記憶體損壞漏洞
- 影響範圍:iOS、iPadOS、macOS、Safari瀏覽器
- 攻擊方式:透過惡意網頁觸發
- 後果:可能導致任意程式碼執行(Arbitrary Code Execution)
CVE-2025-43529
- 漏洞類型:WebKit引擎第二個記憶體損壞漏洞
- 影響範圍:同樣影響iOS、iPadOS、macOS、Safari
- 攻擊方式:處理惡意製作的網頁內容時觸發
- 後果:同樣可能導致任意程式碼執行
Zero-Day的意義
Zero-Day漏洞指的是:
- 供應商在發現當天(第零天)即遭利用的安全漏洞
- 攻擊者在廠商發布修補程式前就已開始利用
- 使用者無防禦措施,因為修補程式尚不存在
- 通常被高級駭客組織或國家級威脅行為者使用
已遭實際利用
Apple在安全公告中明確表示:
「Apple is aware of a report that this issue may have been exploited in attacks targeting a limited number of users.」
「Apple知悉報告指出此問題可能已被利用於針對有限數量用戶的攻擊中。」
這意味著這不是理論上的漏洞,而是實際發生的攻擊。
WebKit引擎與影響範圍
什麼是WebKit?
WebKit是Apple開發的開源瀏覽器引擎:
- Safari瀏覽器的核心引擎
- iOS和iPadOS上所有瀏覽器(包括Chrome、Firefox)都必須使用WebKit
- macOS上的Safari也使用WebKit
- 負責渲染網頁、執行JavaScript等功能
為何WebKit漏洞影響廣泛?
由於Apple的App Store政策:
- iOS/iPadOS上的所有瀏覽器都必須使用WebKit引擎
- Chrome、Firefox、Edge在iOS上只是WebKit的「皮」
- 這意味著WebKit漏洞影響iOS上的所有瀏覽器,而非僅Safari
受影響的裝置與系統
iOS和iPadOS
- 受影響版本:iOS 18.2之前的所有版本
- 修補版本:iOS 18.2.1、iPadOS 18.2.1
- 受影響裝置:iPhone、iPad全系列
macOS
- 受影響版本:macOS Sequoia 15.2之前的版本
- 修補版本:macOS Sequoia 15.2.1
- 受影響裝置:Mac電腦全系列
Safari瀏覽器
- 受影響版本:Safari 18.2之前的版本
- 修補版本:Safari 18.2.1
- 受影響系統:macOS Sonoma和Ventura上的Safari
visionOS(Apple Vision Pro)
- 受影響版本:visionOS 2.2之前的版本
- 修補版本:visionOS 2.2.1
估計受影響用戶數
全球約:
- iPhone用戶:約13億
- iPad用戶:約6億
- Mac用戶:約2億
- 總計:超過20億台裝置潛在受影響
雖然Apple表示「有限數量用戶」遭攻擊,但潛在風險範圍廣泛。
攻擊活動分析
發現者與攻擊歸因
聯合發現
兩個漏洞由以下團隊聯合發現:
- Apple Security Engineering and Architecture (SEAR):Apple內部安全團隊
- Google Threat Analysis Group (TAG):Google威脅分析小組
Google TAG的角色
Google TAG專門追蹤政府支持的威脅行為者:
- 監測國家級APT組織活動
- 分析高級網路間諜活動
- 保護高風險用戶(記者、人權活動家、政治人物)
攻擊歸因推測
TAG的參與強烈暗示:
- 攻擊活動可能由政府支持的駭客組織策動
- 目標可能是特定高價值個人(記者、異議人士、政府官員)
- 使用商業間諜軟體(如NSO Group的Pegasus)的可能性
可能的攻擊情境
水坑攻擊(Watering Hole)
駭客可能:
- 入侵目標群體經常訪問的網站
- 在網站植入惡意JavaScript程式碼
- 當目標用Safari或iOS瀏覽器訪問時觸發漏洞
- 在用戶裝置上執行惡意程式碼
魚叉式網路釣魚
駭客可能:
- 向特定目標發送精心製作的釣魚郵件或訊息
- 誘導目標點擊連結打開惡意網頁
- 利用WebKit漏洞入侵裝置
後果
成功利用漏洞後,攻擊者可能:
- 安裝間諜軟體(如Pegasus)
- 竊取訊息、郵件、照片
- 啟動麥克風、相機進行監聽
- 存取通訊軟體(iMessage、WhatsApp、Signal)
- 完全控制裝置
歷史脈絡:NSO Pegasus
類似的過往案例
Apple裝置曾多次成為間諜軟體目標:
2021年:FORCEDENTRY
- NSO Group的Pegasus間諜軟體利用iMessage Zero-Day漏洞
- 無需用戶互動,僅發送訊息即可入侵iPhone
- 受害者包括記者、人權律師、政府官員
2023年:BLASTPASS
- 另一個iMessage Zero-Day漏洞
- PassKit框架的圖片處理漏洞
- 同樣被Pegasus利用
2025年此次事件
雖然Apple和Google未明確歸因,但:
- TAG參與調查暗示政府級威脅
- WebKit Zero-Day的複雜度符合商業間諜軟體特徵
- 目標「有限數量用戶」符合針對性攻擊模式
Apple的安全回應
緊急更新發布
更新時程
- 漏洞發現:2025年12月初(推測)
- 更新發布:2025年12月15日
- 時間差:可能僅數天,顯示Apple高度重視
更新版本
Apple同時發布多個作業系統的安全更新:
- iOS 18.2.1 和 iPadOS 18.2.1
- macOS Sequoia 15.2.1
- Safari 18.2.1(適用macOS Sonoma和Ventura)
- visionOS 2.2.1
更新內容
除了修補兩個WebKit Zero-Day,更新還包含:
- 其他非緊急安全修補
- 穩定性改進
- 效能優化
安全公告與透明度
Apple Security Updates頁面
Apple在官方安全更新頁面列出:
- 漏洞CVE編號
- 受影響元件(WebKit)
- 漏洞類型(記憶體損壞)
- 影響(任意程式碼執行)
- 修補方法(改進記憶體處理)
有限的細節披露
出於安全考量,Apple未公開:
- 漏洞的技術細節(避免被其他攻擊者利用)
- 具體受害者身份
- 攻擊者組織歸屬
- 攻擊活動的地理分布
這符合「負責任的漏洞披露」原則。
技術深入:記憶體損壞漏洞
什麼是記憶體損壞?
定義
記憶體損壞漏洞是指程式:
- 錯誤地讀取或寫入記憶體位置
- 超出預定的記憶體邊界(Buffer Overflow)
- 使用已釋放的記憶體(Use-After-Free)
- 導致未定義行為和安全風險
在WebKit中
WebKit處理複雜的網頁內容:
- HTML解析
- CSS樣式計算
- JavaScript執行
- 圖片、視訊渲染
任何環節的記憶體處理錯誤都可能導致漏洞。
任意程式碼執行(ACE)
嚴重性
任意程式碼執行是最嚴重的漏洞類型之一:
- 攻擊者可以執行任何程式碼
- 等同於完全控制系統
- 可以安裝惡意軟體、竊取資料、監聽用戶
利用鏈(Exploit Chain)
實際攻擊通常結合多個技術:
- 初始入口:WebKit記憶體損壞漏洞
- 權限提升:利用核心漏洞獲得root權限
- 持久化:安裝間諜軟體,確保重開機後仍存在
- 規避偵測:隱藏惡意程式,避免被發現
商業間諜軟體(如Pegasus)擁有完整的利用鏈。
Apple的緩解措施
記憶體安全機制
Apple在WebKit中實施多層防護:
- 地址空間配置隨機化(ASLR):隨機化記憶體位置,增加利用難度
- 資料執行防護(DEP):防止資料區域的程式碼執行
- Pointer Authentication Code (PAC):在Apple Silicon上驗證指標完整性
- Memory Tagging:追蹤記憶體區域的使用狀態
持續改進
此次更新的修補描述:
「The issue was addressed with improved memory handling.」
「此問題透過改進記憶體處理獲得解決。」
可能包括:
- 增加邊界檢查
- 修正使用後釋放(UAF)漏洞
- 改進記憶體分配和回收機制
用戶應對措施
立即更新
最重要的防護措施
用戶應立即更新至最新版本:
- iOS/iPadOS 18.2.1
- macOS Sequoia 15.2.1
- Safari 18.2.1
如何更新
iPhone/iPad
- 前往「設定」>「一般」>「軟體更新」
- 下載並安裝iOS/iPadOS 18.2.1
- 重新啟動裝置
Mac
- 點擊Apple選單>「系統設定」>「一般」>「軟體更新」
- 下載並安裝macOS Sequoia 15.2.1
- 重新啟動Mac
Safari(較舊macOS版本)
Safari更新會隨macOS軟體更新自動安裝。
高風險用戶額外建議
誰是高風險用戶?
- 記者、媒體工作者
- 人權活動家、異議人士
- 政治人物、政府官員
- 企業高層、商業領袖
- 學術研究人員(敏感領域)
額外防護措施
啟用Lockdown Mode(封鎖模式)
iOS 16+和macOS Ventura+提供Lockdown Mode:
- 嚴格限制網頁功能(禁用JIT、複雜網頁技術)
- 限制訊息附件
- 阻擋FaceTime來電(非聯絡人)
- 大幅降低攻擊面,但影響使用體驗
如何啟用
- iOS/iPadOS:「設定」>「隱私權與安全性」>「封鎖模式」
- macOS:「系統設定」>「隱私權與安全性」>「封鎖模式」
使用VPN
- 隱藏網路流量
- 防範網路層面的攻擊
避免可疑連結
- 不點擊不明來源的連結
- 謹慎處理未預期的郵件和訊息
- 使用多重認證(MFA)
產業影響與啟示
Apple生態系統並非無懈可擊
安全神話的挑戰
Apple長期標榜安全性:
- 封閉生態系統
- App Store審查
- 系統級安全機制
但Zero-Day漏洞顯示:
- 沒有系統是完美的
- 國家級威脅行為者擁有極強能力
- 高價值目標始終面臨風險
持續的攻防戰
- 攻擊者不斷尋找新漏洞
- Apple必須持續改進防護
- Zero-Day市場(漏洞買賣)激勵漏洞挖掘
商業間諜軟體的威脅
NSO Group與Pegasus
以色列NSO Group的Pegasus是最知名的商業間諜軟體:
- 售價:每個目標數百萬美元
- 客戶:政府機構、情報單位
- 能力:完全控制iPhone和Android裝置
濫用問題
雖然聲稱僅用於反恐和打擊犯罪:
- 實際被用於監控記者(如卡舒吉案)
- 監視人權活動家
- 政治壓迫工具
管制呼聲
國際社會呼籲:
- 限制間諜軟體出口
- 建立使用規範
- 保護高風險群體
科技公司的責任
快速回應
Apple在發現漏洞後迅速發布更新,值得肯定。
透明度平衡
必須平衡:
- 告知用戶風險(透明度)
- 避免洩露技術細節(防止更多攻擊)
與安全研究社群合作
Google TAG等組織扮演關鍵角色:
- 獨立監測威脅
- 發現和報告漏洞
- 保護用戶安全
歷史上的Apple Zero-Day
2025年Zero-Day統計
今年已是第X個
2025年Apple已修補多個Zero-Day漏洞(截至12月):
- iMessage漏洞(數個)
- WebKit漏洞(包括此次)
- 核心漏洞
- 其他元件漏洞
具體數字顯示Zero-Day威脅持續存在。
著名的過往案例
2021年:Pegasus FORCEDENTRY
- 利用iMessage Zero-Day
- 針對iPhone 12等最新裝置
- 無需用戶互動的「零點擊」攻擊
2019年:WhatsApp通話漏洞
- 透過WhatsApp語音通話利用
- 影響iOS和Android
- 同樣被Pegasus利用
2016年:Trident漏洞鏈
- 三個Zero-Day組合
- 針對人權活動家
- 催生Apple的Lockdown Mode概念
未來防護方向
技術演進
記憶體安全語言
產業逐漸轉向記憶體安全語言:
- Rust:Apple在部分專案中採用
- Swift:原生記憶體安全特性
- 逐步取代C/C++(易產生記憶體漏洞)
形式驗證
使用數學方法證明程式碼正確性:
- 適用於關鍵安全元件
- 成本高但可靠性極高
隔離與沙箱
強化元件隔離:
- WebKit進程與系統其他部分隔離
- 即使WebKit被攻破,攻擊者仍難以控制整個系統
政策與監管
間諜軟體管制
需要國際合作:
- 限制商業間諜軟體販售
- 建立使用規範和問責機制
- 制裁濫用間諜軟體的政府
漏洞揭露政策
鼓勵負責任的漏洞報告:
- 提高漏洞獎金(Bug Bounty)
- 保護安全研究人員
- 建立快速修補流程
結論
2025年12月中旬Apple緊急修補的兩個WebKit Zero-Day漏洞,再次凸顯即使是最安全的生態系統也面臨持續威脅。
關鍵要點
- 立即更新:所有Apple用戶應立即更新至最新版本
- Zero-Day威脅真實存在:政府級駭客組織持續發動針對性攻擊
- 高風險用戶需額外防護:考慮啟用Lockdown Mode等進階安全功能
- 安全是持續過程:沒有一勞永逸的解決方案
產業啟示
這次事件提醒我們:
- 科技公司必須持續投資安全研究
- 漏洞回應速度至關重要
- 透明度與用戶教育不可或缺
- 商業間諜軟體需要國際監管
在AI和數位化加速的2025年,個人隱私和裝置安全比以往任何時候都更重要。定期更新軟體、保持安全意識、採取適當防護措施,是每位用戶的基本責任。
Sources:
