11月3日蘋果針對旗下的行動裝置、電腦、穿戴裝置,以及電視盒,發布iOS 26.1與iPadOS 26.1、macOS Tahoe 26.1、watchOS 26.1、visionOS 26.1,以及tvOS 26.1更新,對於臺灣用戶而言,最有感的是AI功能Apple Intelligence終於正式支援正體中文。值得一提的是,本次的漏洞修補也有亮點,因為這次揭露的漏洞,有5項是Google透過AI資安代理Big Sleep發現,而受到資安圈關注。
這些漏洞皆與Safari瀏覽器的排版引擎WebKit有關,登記為CVE-2025-43429、CVE-2025-43430、CVE-2025-43431、CVE-2025-43433,以及CVE-2025-43434。根據CVSS風險評分,最危險的是CVE-2025-43431與CVE-2025-43433,一旦遭到利用,攻擊者就能透過特製的惡意網頁內容,造成記憶體損毀,風險值為8.8分(滿分10分),蘋果藉由改善記憶體處理的方式來緩解漏洞。
其餘3個漏洞為中度風險層級,攻擊者可透過特製的惡意網頁內容觸發,風險值皆為4.3。其中,蘋果提及CVE-2025-43429為記憶體緩衝區溢位漏洞,CVE-2025-43434涉及記憶體釋放後再存取利用(Use-After-Free)。
附帶一提的是,這次蘋果也為macOS Sonoma與macOS Sequoia用戶發布瀏覽器更新Safari 26.1,修補上述由Big Sleep找到的資安漏洞。
Big Sleep由Google旗下的Project Zero與DeepMind共同研發,號稱能找出模糊測試工具OSS-Fuzz無法察覺的資安弱點,正式發表至今剛好滿一年。Google曾成功用來找出疑似即將被利用的SQLite零時差漏洞,近期也找到Chrome數項資安漏洞,其中一個是出現在JavaScript引擎V8的記憶體越界寫入漏洞CVE-2025-9132。
熱門新聞
2025-12-02
2025-12-01
2025-11-30
2025-12-01
2025-12-01
