近期 Google 與蘋果聯手修補 CVE-2025-14174 零日漏洞,揭示了跨平台架構下的安全隱憂。該漏洞源於 ANGLE 圖形函式庫,影響範圍涵蓋 Chromium 與 WebKit 兩大引擎,使駭客能透過單一弱點同時威脅 iOS、Android 及 Windows 用戶。資安專家指出,惡意擴充功能已成為瀏覽器安全的重災區,即便擁有官方「已驗證」標籤,仍可能透過所有權變更或程式碼注入轉為惡意。目前資安工具對擴充功能在運行時的動態行為缺乏可見性,導致惡意程式能輕易竊取會話 Cookie 或劫持瀏覽器權限,顯示現有瀏覽器架構在權限控管與供應鏈審核上存在顯著漏洞。
瀏覽器已成為企業存取雲端資源的核心窗口,這讓擴充功能成為駭客眼中最具投資報酬率的攻擊媒介。這種「跨平台感染」現象反映出傳統商店審核機制的失靈,攻擊者利用虛假評論與大量下載偽裝,輕易繞過靜態掃描。從產業策略來看,這將迫使企業資安從「被動修補」轉向「主動防禦」,例如導入瀏覽器隔離技術或更嚴格的 API 權限限制。未來瀏覽器開發商必須重新定義擴充功能的沙箱邊界,不再僅依賴信任標籤,而是建立即時行為監測機制。對於企業而言,這不僅是技術修補,更是供應鏈風險管理的轉折點,必須將瀏覽器視為獨立的端點進行深度防禦。
解鎖更多問題
科技新報粉絲團
加入好友
訂閱免費電子報