苹果发布紧急补丁
苹果公司已于周六(12月27日)发布紧急安全更新,以修复两个已被黑客(黑客)积极用于“高度针对性攻击”的零日漏洞。
“零日漏洞”(Zero-day vulnerability)是指软件中已被发现但开发者尚未修复的安全缺陷。由于开发者在漏洞曝光时拥有“零日”时间来准备对策,黑客可以利用此窗口期对未更新的系统发起攻击。
虽然官方尚未确认受害者身份,但其攻击范围的局限性强烈暗示这属于间谍软件级别的操作,而非大范围的普通网络犯罪。
WebKit漏洞及其风险
本次修复的两个漏洞——CVE-2025-43529与CVE-2025-14174均存在于WebKit引擎中。由于WebKit是Safari以及iOS系统上所有浏览器的核心架构,用户仅需访问一个恶意网页就可能触发攻击。
苹果公司证实,CVE-2025-43529是一个“释放后使用”(use-after-free)漏洞,可导致设备在处理恶意Web内容时执行任意代码。
该漏洞由苹果与谷歌(Google)威胁分析小组共同发现。这类跨巨头合作发现的漏洞,通常被视为国家级或商业间谍软件活动的强烈信号。
受影响设备与修复版本
苹果已在其全线操作系统中推送了补丁。受影响设备涵盖了目前市场上绝大多数活跃设备,包括iPhone 11及更新机型、各代iPad Pro及iPad Air等。
用户应立即更新至以下版本以确保安全:
iOS 26.2与iPadOS 26.2
macOS Tahoe 26.2
Safari 26.2
以及watchOS、tvOS和visionOS的相应版本。
专家建议与防护措施
克努特森建议,面对这类极具针对性的威胁,用户应采取以下六项行动:
即刻安装更新: 零日攻击依赖于用户运行旧软件的窗口期。
警惕不明链接: 避免点击通过简讯或第三方社交软件(如 WhatsApp、Telegram)发送的随机链接。
部署防病毒工具: 使用专业软件识别并拦截钓鱼邮件。
开启“锁定模式”: 高风险群体(如记者、活动人士)应考虑启用苹果的“锁定模式”(Lockdown Mode)。
减少个人数据暴露: 缩减网上可查阅的个人隐私资料,降低被攻击者选中作为目标的风险。
留意设备异常: 若设备出现不明原因的发热、崩溃或电量异常消耗,应立即检查系统状态。
这已是苹果在2025年内修复的第七个已被利用的零日漏洞。苹果敦促所有用户,特别是面临高风险针对性威胁的人群,应尽快完成系统更新。
