近日,Apple 公司針對其多款設備發佈了一系列緊急安全更新,特別是針對一個被積極利用的零日漏洞 C.V.E.-2025-24085,這項漏洞涉及 iOS 17.2 之前的版本,可能已經被黑客用於攻擊。此漏洞被描述為一種“使用後釋放”問題,攻擊者可以利用此漏洞提升應用程式的訪問權限,從而獲得更高的控制權限,甚至可能接觸到敏感資料。
此漏洞是在 Apple 的核心媒體(Core Media)組件中被發現的。根據公司的安全警報,該問題已被修補,並建議所有用戶及時更新他們的設備以保護自身免受潛在威脅。此更新涵蓋了包括 iPhone、iPad、Mac 及 Apple TV 等設備。具體來說,支援的操作系統版本包括 iOS 18.3、iPadOS 18.3、macOS Sequoia 15.3、tvOS 18.3、watchOS 11.3 及 visionOS 2.3 等,這些設備的用戶都應該儘快進行更新。
除了 CVE-2025-24085,這次更新還解決了多個其他安全問題。其中包括五個與 AirPlay 有關的漏洞,這些問題使攻擊者可能透過特定條件導致系統意外終止、拒絕服務(DoS),或執行任意代碼。此外,Google 的威脅分析小組發現了三個與 CoreAudio 組件有關的漏洞(C.V.E.-2025-24160、C.V.E.-2025-24161 和 C.V.E.-2025-24163),這些漏洞在處理特製文件時可能導致應用程式意外終止。
這是2025年內發現的首個被積極利用的零日漏洞。過去一年中,Apple 也曾修補了多個被認為可能被利用的漏洞。根據專業人士的解讀,這種核心組件中存在的漏洞會使得攻擊者更容易攫取權限,增加被攻擊的風險。資訊安全專家提到,隨著設備性能的提升,智能手機等移動設備的安全問題已逐漸趨近於傳統伺服器的安全挑戰,用戶需對其設備的安全性保持警覺。
在此次事件中,Apple 並未公開漏洞發現者的資訊,這似乎成為了一個常規做法。雖然目前尚不清楚此漏洞被誰利用,以及具體的攻擊方式,但安全專家們強調,無論是企業還是個人用戶,都應該密切注意安全更新,並定期檢查其設備的安全性,以確保未來不會成為攻擊的目標。
引用出處: https://thehackernews.com/2025/01/apple-patches-actively-exploited-zero.html
對於用戶而言,及時更新系統固然是必須,然而了解潛在的安全風險同樣重要。在未來的日子裡,面對技術的進步與漏洞的演變,用戶的安全意識和防護措施將成為確保數位生活安全的重要一環。
