蘋果與 Google 這一星期相繼推送緊急安全更新,修補一個同時影響兩間公司產品的零日漏洞 CVE-2025-14174。美國網路安全及基礎設施安全局(CISA)已將此漏洞列入已知被利用漏洞(KEV)清單,要求聯邦機構 2026 年 1 月 2 日前完成修補。兩間公司資料顯示,攻擊者已利用這些漏洞對特定人士發動「精密」攻擊,Google Threat Analysis Group 參與強烈暗示攻擊與商業間諜軟體或國家級駭客組織有關。
事件除影響 iPhone、iPad、Mac 及 Apple Watch 等裝置,亦波及所有以 Chromium 為基礎的瀏覽器,包括 Chrome、微軟 Edge、Opera、Vivaldi 及 Brave,全球數十億用戶的裝置安全面臨威脅。
ANGLE 圖形函式庫成攻擊突破口
這次修補的核心漏洞 CVE-2025-14174 源自 ANGLE(Almost Native Graphics Layer Engine)圖形抽象層函式庫的越界記憶體存取問題。由於 Chrome 的 Blink 瀏覽器引擎及蘋果 WebKit 引擎均採用 ANGLE,單一漏洞就危害兩大生態系統用戶。蘋果同時修補另一個相關漏洞 CVE-2025-43529,屬 WebKit 引擎使用後釋放(use-after-free)程式錯誤。攻擊者只需誘使用戶瀏覽特別設計的惡意網頁,便能觸發漏洞,裝置執行任意程式碼或造成記憶體損壞,取得系統控制權。
蘋果安全公告指出,這些漏洞「可能已利用來精密攻擊行動,針對使用 iOS 26 版本之前系統特定個人」。兩個漏洞均由 Apple Security Engineering and Architecture(SEAR)團隊及 Google Threat Analysis Group(TAG)共同發現及報告。TAG 是 Google 專門追蹤國家級駭客及商業間諜軟體供應商的精英團隊,外界相信攻擊並非一般機會主義駭客,而是高度針對性監控行動。
科技巨擘罕見合作對付威脅
Google 10 日率先推出 Chrome 更新,當時未披露漏洞詳細資料,僅表示「仍在協調」。至蘋果 12 日發表安全更新後,Google 才更新公告,確認漏洞就是 CVE-2025-14174,顯示兩間公司一直在幕後協調。Google 公告,團隊 5 日首次接獲漏洞報告,隨即展開調查及修補。
蘋果已推送多個軟體更新修補漏洞,受影響產品涵蓋 iOS 26.2、iPadOS 26.2、iOS 18.7.3、iPadOS 18.7.3、macOS Tahoe 26.2、Safari 26.2、tvOS 26.2、watchOS 26.2 及 visionOS 26.2。Google 則將 Chrome 更新至 143.0.7499.110 版本(macOS)及 143.0.7499.109 版本(Windows 及 Linux)。微軟 11 日也更新 Edge 瀏覽器以修補同漏洞,Vivaldi 等其他 Chromium 瀏覽器也陸續推出修補程式。這種跨公司、跨平台協調修補行動在業界實屬罕見,反映漏洞嚴重程度及影響範圍甚廣。
商業監控供應商的威脅
Google Threat Analysis Group 有參與是判斷這次攻擊性質多嚴重的重要線索,團隊主要職責是追蹤國家支援駭客組織及商業間諜軟體供應商,不會處理一般網路犯罪。Google 稍早研究報告,2021 年以來發現約 70 個零日漏洞,15 個與商業監控供應商 Intellexa 有關。這間以「Predator」間諜軟體聞名的公司雖已遭美國政府制裁,但仍持續經營並販售監控工具給各國政府。
商業間諜軟體通常監控記者、人權倡議者、異見人士及反對派政客等高風險人士,這些工具擴散威脅言論自由、新聞自由及選舉誠信。Google TAG 報告指出,團隊追蹤約 40 間不同規模及曝光程度的商業監控供應商。這些公司開發或收購利用零日漏洞程式,為無法自研駭客攻擊手法的國家提供「即買即用」工具。雖然這次攻擊受害者身分及攻擊者尚未公開,但「針對特定個人的精密攻擊」描述與商業間諜軟體典型使用模式高度吻合。
2025 年零日漏洞態勢:瀏覽器成為駭客首要目標
這次事件是蘋果及 Google 今年修補眾多零日漏洞之一,反映瀏覽器及串流平台已成為攻擊者眼中最有價值目標。蘋果今年已修補九個利用零日漏洞,分別為 1 月(CVE-2025-24085)、2 月(CVE-2025-24200)、3 月(CVE-2025-24201)、4 月(CVE-2025-31200 及 CVE-2025-31201)及 12 月發現。Google 修補八個 Chrome 零日漏洞,包括 3 月針對俄羅斯政府組織及媒體的沙盒逃逸漏洞(CVE-2025-2783)、5 月帳戶劫持漏洞(CVE-2025-4664)、6 月 V8 引擎漏洞(CVE-2025-5419 / CVE-2025-6554)以及 9 月類型混淆漏洞(CVE-2025-10585)。
這種持續利用零日漏洞趨勢並非偶然。瀏覽器為用戶存取雲端平台、敏感資料、開發工具及內部系統的主要窗口,已成為企業環境最關鍵攻擊管道。業界報告指出,今年有 75 個零日漏洞遭利用,44% 攻擊企業安全產品,瀏覽器渲染引擎及 JavaScript 引擎更是駭客重點研究對象。由於 iOS 及 iPadOS 所有瀏覽器均為 WebKit 引擎,即使用戶不以 Safari 為主瀏覽器,仍會受 WebKit 漏洞影響,大幅擴展攻擊者潛在目標範圍。
從被動修補到主動防禦
面對持續零日漏洞威脅,企業安全團隊需重新審視漏洞管理策略,由傳統「發現後修補」模式轉向更主動防禦架構。CISA 將 CVE-2025-14174 列入 KEV 目錄,意味美國聯邦機構必須於 2026 年 1 月 2 日前完成修補,CISA 亦強烈建議所有組織以 KEV 目錄為漏洞管理優先次序的重要參考。對於使用大量流動裝置的企業,建立集中式裝置管理系統(MDM)能確保安全更新快速部署至整個裝置群組,避免因依賴用戶自行更新而產生安全缺口。
企業應採取即時行動包括:將所有蘋果裝置更新至最新系統版本、將 Chrome 及其他 Chromium 瀏覽器更新至最新版本、以軟體分發工具(如 SCCM、JAMF 或 Intune)加速更新部署、監控可疑 HTML 檔案執行行為,以及無法即時修補環境實施網路分隔或應用程式白名單等補償控制措施。安全團隊亦應建立紀錄完善的例外處理流程,以應付無法按時修補資產,並制定相應監控策略。
零日漏洞攻防戰的新常態
2025 年零日漏洞態勢代表網路安全領域轉折點,攻擊者利用速度、攻擊鏈複雜程度及目標多樣性均達前所未有程度。從 Chrome 瀏覽器到企業級 SAP 系統,沒有任何技術堆疊能免疫頑固攻擊者。蘋果、Google、微軟及 Citrix 等主要供應商持續遭受攻擊,印證現代零日漏洞攻擊具系統性本質。
組織必須認識到,利用零日漏洞不再是例外事件,已形成常態。成功應對需超越傳統「修補即祈禱」方式,建立假設已被入侵的深度防禦策略,並將重點放在偵測、遏制及快速回應。監管壓力日益增加下,歐盟及美國對加快漏洞披露的要求,可能迫使科技公司提高透明度;跨供應商合作(如蘋果與 Google 協調修補)則展示集體力量。對用戶而言,最關鍵始終是保持自動更新功能開啟,並在新修補程式公布後盡快更新,因漏洞在攻擊者方流傳時,修補過系統當然較難成為攻擊目標。
(本文由 Unwire Pro 授權轉載;首圖來源:Pixabay)
科技新報粉絲團
加入好友
訂閱免費電子報
