Apple 與 Google 於過去一星期相繼發佈緊急安全更新,修補一個同時影響兩間公司產品的零日漏洞 CVE-2025-14174。美國網絡安全及基礎設施安全局(CISA)已將此漏洞列入已知被利用漏洞(KEV)目錄,要求聯邦機構於 2026 年 1 月 2 日前完成修補。根據兩間公司披露的資料顯示,攻擊者已利用這些漏洞針對特定人士發動「精密」攻擊,而 Google Threat Analysis Group 的參與強烈暗示攻擊與商業間諜軟件或國家級黑客組織有關。
事件除影響 iPhone、iPad、Mac 及 Apple Watch 等裝置,亦波及所有以 Chromium 為基礎的瀏覽器,包括 Chrome、Microsoft Edge、Opera、Vivaldi 及 Brave,全球數十億用戶的裝置安全面臨威脅。
ANGLE 圖形函式庫成為攻擊突破口
這次修補的核心漏洞 CVE-2025-14174 源自 ANGLE(Almost Native Graphics Layer Engine)圖形抽象層函式庫的越界記憶體存取問題。由於 Chrome 的 Blink 瀏覽器引擎及 Apple 的 WebKit 引擎均採用 ANGLE,令單一漏洞能同時危害兩大生態系統用戶。Apple 同時修補了另一個相關漏洞 CVE-2025-43529,屬於 WebKit 引擎中的使用後釋放(use-after-free)程式錯誤。攻擊者只需誘使用戶瀏覽經特別設計的惡意網頁,便能觸發漏洞,在裝置執行任意程式碼或造成記憶體損壞,從而取得系統控制權。
Apple 在安全公告指出,這些漏洞「可能已被利用於一場精密攻擊行動,針對 iOS 26 版本之前系統上的特定個人」。值得留意是兩個漏洞均由 Apple Security Engineering and Architecture(SEAR)團隊及 Google Threat Analysis Group(TAG)共同發現及報告。TAG 是 Google 專門追蹤國家級黑客及商業間諜軟件供應商的精英團隊,這背景令外界相信是次攻擊並非一般機會主義黑客行為,而是具高度針對性的監控行動。
科技巨擘罕見合作應對威脅
Google 於 12 月 10 日率先推出 Chrome 更新,當時未有披露漏洞詳細資料,僅表示問題「仍在協調中」。直至 Apple 於 12 月 12 日發佈安全更新後,Google 才更新公告,確認該漏洞正是 CVE-2025-14174,顯示兩間公司一直在幕後協調披露工作。據 Google 公告指,團隊於 12 月 5 日首次接獲此漏洞報告,隨即展開調查及修補。
Apple 已透過多個軟件更新修補漏洞,受影響產品涵蓋 iOS 26.2、iPadOS 26.2、iOS 18.7.3、iPadOS 18.7.3、macOS Tahoe 26.2、Safari 26.2、tvOS 26.2、watchOS 26.2 及 visionOS 26.2。Google 則將 Chrome 更新至 143.0.7499.110 版本(macOS)及 143.0.7499.109 版本(Windows 及 Linux)。Microsoft 亦於 12 月 11 日更新 Edge 瀏覽器以修補同一漏洞,Vivaldi 等其他 Chromium 瀏覽器也陸續推出相應更新。這種跨公司、跨平台協調修補行動在業界實屬罕見,反映漏洞嚴重程度及潛在影響範圍甚廣。
商業監控供應商的威脅
Google Threat Analysis Group 的參與是判斷這次攻擊性質的重要線索,因該團隊主要職責是追蹤國家支援的黑客組織及商業間諜軟件供應商,而非一般網絡犯罪活動。根據 Google 早前發佈的研究報告,公司自 2021 年以來發現約 70 個零日漏洞中,有 15 個與商業監控供應商 Intellexa 有關。這間以「Predator」間諜軟件聞名的公司雖已遭美國政府制裁,但仍持續營運並向各國政府出售監控工具。
商業間諜軟件通常用於監控記者、人權倡議者、異見人士及反對派政客等高風險人士,這些工具擴散正威脅言論自由、新聞自由及選舉誠信。Google TAG 報告指出,團隊正追蹤約 40 間不同規模及曝光程度的商業監控供應商。這些公司透過開發或收購零日漏洞利用程式,為無法自行研發此類能力的國家提供「即買即用」黑客工具。雖然這次攻擊具體受害者身份及攻擊者來源尚未公開,但「針對特定個人的精密攻擊」描述與商業間諜軟件典型使用模式高度吻合。
2025 年零日漏洞態勢:瀏覽器成為黑客首要目標
這次事件是 Apple 及 Google 在 2025 年修補眾多零日漏洞之一,反映瀏覽器及流動平台已成為攻擊者眼中最具價值目標。Apple 今年已修補 9 個已被利用的零日漏洞,分別於 1 月(CVE-2025-24085)、2 月(CVE-2025-24200)、3 月(CVE-2025-24201)、4 月(CVE-2025-31200 及 CVE-2025-31201)及 12 月發現。Google 則修補了 8 個 Chrome 零日漏洞,包括 3 月用於針對俄羅斯政府組織及媒體的沙盒逃逸漏洞(CVE-2025-2783)、5 月帳戶劫持漏洞(CVE-2025-4664)、6 月 V8 引擎漏洞(CVE-2025-5419 及 CVE-2025-6554)以及 9 月類型混淆漏洞(CVE-2025-10585)。
這種持續利用零日漏洞的趨勢並非偶然。瀏覽器作為用戶存取雲端平台、敏感資料、開發工具及內部系統的主要窗口,已成為企業環境中最關鍵攻擊面之一。行業報告指出,2025 年已有 75 個零日漏洞遭利用,其中 44% 攻擊針對企業安全產品,而瀏覽器渲染引擎及 JavaScript 引擎更是黑客重點研究對象。由於 iOS 及 iPadOS 上所有瀏覽器均須使用 WebKit 引擎,即使用戶不使用 Safari 作為主要瀏覽器,仍會受 WebKit 漏洞影響,大幅擴展攻擊者潛在目標範圍。
從被動修補到主動防禦
面對持續零日漏洞威脅,企業安全團隊需重新審視漏洞管理策略,由傳統「發現後修補」模式轉向更主動防禦架構。CISA 將 CVE-2025-14174 列入 KEV 目錄,意味美國聯邦機構必須於 2026 年 1 月 2 日前完成修補,CISA 亦強烈建議所有組織以 KEV 目錄作漏洞管理優先次序的重要參考。對於使用大量流動裝置的企業,建立集中式裝置管理系統(MDM)能確保安全更新快速部署至整個裝置群組,避免因依賴用戶自行更新而產生安全缺口。
企業應採取即時行動包括:將所有 Apple 裝置更新至最新系統版本、將 Chrome 及其他 Chromium 瀏覽器更新至最新版本、透過軟件分發工具(如 SCCM、JAMF 或 Intune)加速更新部署、監控可疑 HTML 檔案執行行為,以及在無法即時修補環境中實施網絡分隔或應用程式白名單等補償控制措施。安全團隊亦應建立記錄完善的例外處理流程,以應對無法按時修補資產,並制定相應監控策略。
零日漏洞攻防戰的新常態
2025 年零日漏洞態勢標誌網絡安全領域轉折點,攻擊者利用速度、攻擊鏈複雜程度及目標多樣性均達前所未有水平。從 Chrome 瀏覽器到企業級 SAP 系統,沒有任何技術堆疊能對堅定攻擊者免疫。Apple、Google、Microsoft 及 Citrix 等主要供應商持續遭受攻擊,印證現代零日漏洞攻擊具系統性本質。
組織必須認識到,利用零日漏洞不再是例外事件,而是威脅環境常態。成功應對需超越傳統「修補即祈禱」方式,建立假設已被入侵的深度防禦策略,並將重點放在偵測、遏制及快速回應能力。在監管壓力日益增加下,歐盟及美國對加快漏洞披露的要求,可能迫使科技公司提高透明度;而跨供應商合作(如 Apple 與 Google 協調修補)則展示集體安全力量。對用戶而言,最關鍵一步始終是保持自動更新功能開啟,並在新修補程式發佈後盡快安裝,因當漏洞詳情在攻擊者群體流傳時,已完成修補的系統將較難成為攻擊目標。