Apple於12月12日緊急修補兩個WebKit零日漏洞，其中一項與Google上週修補的神秘Chrome漏洞重疊，Apple公告指這些缺陷可能已被用於「極度精密攻擊」，針對特定個人。資安專家分析，這類記憶體安全漏洞易鏈結成商業間諜軟體或國家級工具，廠商刻意低調披露，避給駭客逆向藍圖。對台灣而言，iPhone與iPad市佔逾60%，逾1500萬用戶受影響，若未更新至iOS 26.2或iPadOS 26.2，恐遭遠端程式碼執行（RCE），洩露個資或植入後門。資策會資安中心已發文企業與民眾，敦促立即升級，防範供應鏈與隱私危機。

漏洞細節震驚業界。CVE-2025-43529為use-after-free缺陷，處理惡意網頁內容時記憶體管理失當，導致任意程式碼執行；CVE-2025-14174則為記憶體腐敗，源於同樣網頁處理疏失，已改善驗證機制。兩者均由Google威脅分析小組（TAG）與Apple安全工程架構團隊（SEAR）於12月5日共同發現。Apple修補涵蓋iOS 26.2、iPadOS 26.2、iOS 18.7.3、iPadOS 18.7.3及macOS Tahoe 26.2，公告強調「Apple知悉報告顯示，此問題可能已在iOS 26前版本遭極度精密攻擊針對特定個人」。

更耐人尋味的是，CVE-2025-14174竟與Google上週修補的Chrome零日相同。Google最初僅稱「與另一方協調修補」，12月12日才補充細節：漏洞位於圖形引擎抽象層ANGLE的越界記憶體存取。兩巨頭低調處理，Dark Reading詢問原因未獲回覆。Palo Alto Networks Unit 42威脅情報資深總監Andy Piazza解釋，「修補對防禦者是救星，對駭客卻是藍圖—披露引發競賽，廠商須確保客戶先安全。」Rapid7漏洞情報總監Douglas McKee補充，「記憶體安全漏洞跨平台、易鏈結，符合先進利用模式，如商業間諜或國家工具。安靜協調披露，顯示廠商視其高風險，已知敵手可能掌握。」

Apple近年多次用「極度精密攻擊」描述漏洞，如9月CVE-2025-43300（ImageIO框架零日），同期通知特定客戶遭間諜軟體攻擊，自2021年起此做法已成常態。專家推測，此波漏洞或涉同類商業監控工具，如Pegasus式間諜軟體，針對記者、異議人士或企業高層。McKee警告，「無公開指標，勿過度歸因，但回應模式暗示廠商欲快速封殺，避廣泛濫用。」

台灣衝擊不容忽視。根據NCC 2025年統計，iPhone市佔64%，iPad逾50%，總用戶逾1800萬，多用Safari瀏覽器依賴WebKit引擎。金融App如台新Richart、電商如蝦皮，廣泛網頁互動，若遭惡意內容觸發RCE，駭客可竊取銀行憑證或訂單資料。資安公司趨勢科技台灣分公司指出，「台灣個資洩露事件2025年漲25%，WebKit漏洞易經釣魚網頁傳播，用戶未更新即成目標。」近期相關事件如Gogs零日被利用數月，或ClickFix用Grok/ChatGPT散布惡意軟體，皆顯示瀏覽器引擎成攻擊熱點。

廠商保密策略雖保護用戶，卻也引發質疑。Piazza表示，「競賽條件下，透明需平衡—客戶安全優先。」McKee認為，「這非祕密主義，而是風險減低：高價值漏洞不宜廣播。」Apple與Google未回應，凸顯產業共識：對先進威脅，低調修補勝過詳盡披露。

防範之道，專家一致：立即更新。Apple公告適用舊版iOS 18.7.3，用戶無需升至最新iOS 26。台灣用戶可：

這波漏洞雖獲速修，卻暴露瀏覽器引擎的系統風險：WebKit與Chrome共享技術，單一缺陷跨平台放大。Piazza感慨，「精密攻擊時代，修補競賽永不止息。」在台灣民主社會，Apple產品普及，此事件是警訊：從個人隱私到國家安全，零日威脅無遠弗屆。用戶與企業聯手，及時更新，方能築牢數位防線，讓精密攻擊無所遁形。

 

 

出處：本新聞參考自Alexander Culafi於2025年12月16日發表於Dark Reading的報導《Apple Patches More Zero-Days Used in 'Sophisticated' Attack》。