苹果公司(Apple)于16日发出紧急通知,呼吁全球用户立即更新iOS操作系统,以防范两项由苹果与Google威胁分析小组(Google Threat Analysis Group)共同发现的「零日漏洞」(zero-day vulnerabilities)。这两项高风险漏洞已被证实遭黑客利用,并针对特定目标的进行攻击。
苹果指出,这次漏洞影响范围广泛,涵盖 iPhone、iPad、Mac、Apple TV 及 Vision Pro 等多款苹果产品。用户若打开自动更新功能,系统应已自动安装最新修补程序;未打开自动更新的用户,则需手动更新至 iOS/iPadOS 18.4.1 或 macOS Sequoia 等对应版本。
根据苹果公布,首个漏洞编号为 CVE-2025-31200,来自操作系统的音频处理内核模块 CoreAudio。该模块负责音频的播放以及录制,黑客可以借由设计恶意音频档案(如假的 MP3档),触发远程代码运行,使设备遭受入侵。
第二项漏洞 CVE-2025-31201,则涉及系统安全功能「指针验证机制」(Pointer Authentication, RPAC)。该机制原用以防止内存遭篡改,但黑客可以通过漏洞绕过验证,运行恶意代码,进一步操控系统、访问数据甚至造成设备损坏。
受影响的设备包括 iPhone XS 起所有型号、第三代以后 iPad Air、第五代以后的 iPad mini、第七代起的 iPad,以及所有型号的 Apple TV 和 Vision Pro。苹果未说明目前具体遭受到攻击的人数,但强调内部已紧急释出修补更新,并建议所有用户尽速完成系统更新。
资安网站 BleepingComputer 指出,这是苹果自2025年以来第5次揭露零日漏洞。专家提醒,「零日漏洞」指的是在软件公司发现漏洞的「第0天」,黑客就已经利用了这个漏洞,因为原厂还没有任何时间(zero day)来修补或防范它,因此危险性高,建议用户打开自动更新功能,以维护个人的资安不被有心人士利用。