WhatsApp修補鏈結裝置授權缺失，與Apple ImageIO漏洞可構成零點擊攻擊鏈

獨立資安研究機構DarkNavy在X上展示WhatsApp零點擊攻擊概念性驗證，該攻擊鏈串連WhatsApp應用與Apple系統中的兩個關鍵漏洞，最終可在被害裝置上執行任意程式碼。這兩個漏洞分別是WhatsApp的CVE-2025-55177，屬於鏈結裝置同步訊息的授權檢核缺失，Apple的CVE-2025-43300則是ImageIO在處理影像檔時，可能發生越界寫入並導致任意程式碼執行。

CISA已將相關弱點納入KEV（Known Exploited Vulnerabilities）清單，顯示存在野外利用證據，建議盡速依廠商指引更新。

依WhatsApp官方資安通報，CVE-2025-55177影響iOS版WhatsApp低於2.25.21.73、iOS版Business低於2.25.21.78，以及WhatsApp for Mac低於2.25.21.78。此漏洞可能讓不相關的第三方在無互動情境下，誘使受害裝置從任意URL處理內容，官方研判此弱點與Apple平臺的作業系統層級漏洞CVE-2025-43300結合，並可能已在特定對象上遭到濫用。

Apple於2025年8月20日釋出多項作業系統安全更新，於iOS 18.6.2、iPadOS 18.6.2、macOS Sequoia 15.6.1與macOS Sonoma 14.7.8等版本修補CVE-2025-43300。Apple說明此為ImageIO的越界寫入問題，當系統處理特製影像檔時，可能導致記憶體破壞並被利用，且Apple已知有極具針對性且高度複雜的攻擊報告。後續Apple也向更舊裝置推送相關安全更新。

WhatsApp應用層缺乏授權檢核，提供零點擊攻擊的入口，使目標裝置在未經使用者點擊情況下自動處理攻擊者指定的外部內容。隨後，攻擊鏈可在作業系統層由ImageIO的記憶體安全缺陷接續，並執行攻擊者控制的程式碼。

WhatsApp使用者應確認iOS版至少為2.25.21.73、Business版2.25.21.78、Mac版2.25.21.78或更新，Apple平臺則應安裝包含CVE-2025-43300修補的最新系統版本。