蘋果緊急修補FontParser漏洞!macOS、iOS恐遭駭客攻擊
記者孫敬/編譯
蘋果於2025年9月29日發布了一系列作業系統安全更新,意在修復一個潛藏在「字型解析器」(FontParser)元件中的重大漏洞。該漏洞可能允許駭客利用惡意字體,導致應用程式崩潰,甚至造成程序記憶體損毀(Corrupt Process Memory)。
這項資安風險被標記為CVE-2025-43400,影響範圍極廣,涵蓋新釋出的macOS Tahoe和iOS26,以及多個舊版本系統。由於蘋果產品生態系具有共用程式碼的特性,幾乎所有主要的桌面與行動裝置都成了此次更新的目標。
延伸閱讀:Tenable爆Gemini三大資安漏洞 駭客可竊取用戶雲端與個人數據
FontParser漏洞使惡意字體造成記憶體損毀與DoS
這個漏洞的根源在於FontParser內的「越界寫入」(Out-of-BoundsWrite)問題,屬於記憶體安全缺陷的一種。當程式處理字體資料時,此類缺陷會使程式在超出分配的記憶體緩衝區範圍外寫入數據,從而導致不可預期的行為。
攻擊者可以透過在文件、電子郵件或網頁中嵌入精心設計的惡意字體來發動攻擊。當使用者在不知情的狀況下與這些內容互動時,弱點便會被觸發,可能導致:
- 服務阻斷(Denial-of-Service,DoS):應用程式立即終止或崩潰。
- 記憶體損毀:造成程序記憶體遭到破壞。
雖然目前尚不清楚該漏洞是否能被用於更為嚴重的「任意程式碼執行」(Arbitrary Code Execution),但其造成應用程式閃退和記憶體破壞的可能性,必須立即修復。
蘋果建議檢查iOS26與macOS系統
蘋果已透過在FontParser元件中實作「改進的邊界檢查」(Improved Bounds Checking)來解決此問題。這項修復確保了軟體在處理字體資料時,能嚴格地在其指定的記憶體空間內操作,有效杜絕了越界寫入的發生。
根據蘋果公司在2025年9月29日發布的安全公告,目前並未發現此漏洞在現實世界中遭到利用的案例,這表示此次修復屬於預防性措施。
然而,用戶仍需保持高度警惕並立即行動:
- 立即更新:強烈建議所有macOS和iOS裝置用戶,將其系統更新至最新版本,以減輕任何潛在風險。
- 系統差異:儘管蘋果同時釋出了watchOS和tvOS的更新,但官方澄清本次FontParser漏洞的修補程式並未包含在這兩個作業系統的更新中。
資料來源:Cyber Security News
