iPhone用戶快更新！駭客藉「越界寫入」發送惡意圖片 收到沒打開仍會被入侵

記者孫敬／編譯

蘋果近日針對iOS和iPadOS發布了安全更新iOS 18.6.2和iPadOS 18.6.2，以修補其核心Image I/O框架中的一個關鍵零時差漏洞，該漏洞編號CVE-2025-43300，其核心為Image I/O框架中存在的「越界寫入」（Out-of-bounds write），屬於蘋果作業系統處理和顯示各種圖片格式的基礎，攻擊者發送的惡意圖片，會將資料寫入記憶體緩衝區的預期範圍之外，可能讓攻擊者完全掌控受影響的裝置。

延伸閱讀：全球最強DDoS殭屍網路「RapperBot」遭瓦解！雲端科技巨頭亦攜手合作

「零點擊」攻擊手法類似飛馬，蘋果敦促用戶立即更新iPhone

由於此漏洞的攻擊手法具有高度針對性，這暗示了背後有複雜的駭客組織參與其中，類似於過去用於部署「飛馬」（Pegasus）等監控工具的「零點擊」（Zero-click）漏洞，受害者只需透過即時通訊軟體接收一個檔案，無需任何使用者互動，裝置就會被入侵。

為了應對此一威脅，蘋果已向廣泛的裝置提供安全修補：

• iPhone XS及後續機型
• iPad Pro（13吋、12.9吋第3代及後續機型、11吋第1代及後續機型）
• iPad Air第3代及後續機型
• iPad第7代及後續機型
• iPad mini第5代及後續機型

本次修補透過實施改進的邊界檢查，防止越界寫入的發生，CVE-2025-43300漏洞現在流竄在尚未更新的用戶。資安研究人員和蘋果皆強烈建議所有用戶立即透過裝置「設定」中的「軟體更新」功能，安裝最新版本，以保護自己免受此類定向攻擊。

資料來源：Cyber Security News