駭客利用圖片漏洞發動零點擊攻擊

近年來，網路攻擊手法日益精密，駭客不再需要用戶主動點擊惡意連結或下載附件，便能發動攻擊。這種被稱為「零點擊」的攻擊，對用戶來說幾乎無從防範。最近的一起重大事件，就是駭客利用蘋果裝置中的一個關鍵漏洞（CVE-2025-43300），透過惡意圖片檔來遠端入侵iPhone、iPad及Mac等設備。這個漏洞存在於蘋果的Image IO圖像處理框架中，只要用戶打開一個精心製作的惡意圖片，即使沒有進行其他任何操作，駭客就能在裝置上執行惡意程式碼，進而完全控制設備。這種攻擊手法的隱蔽性極高，用戶在不知不覺中便成為受害者，使得傳統的資安防護措施難以奏效。

蘋果緊急修補與漏洞影響範圍

面對這項嚴峻的威脅，蘋果公司迅速採取行動，於2025年8月20日發布了緊急安全更新。這些更新針對iPhone XS及更新機型、多代iPad與iPad Pro，以及運行特定macOS版本的Mac電腦，進行了修補。修補措施主要透過改善Image IO框架的邊界檢查（boundary checks），來防止記憶體損壞問題被利用。此漏洞是蘋果今年以來必須修補的第七個零時差漏洞，顯示即使是高度安全的蘋果生態系統，仍舊面臨著持續不斷的挑戰。美國網路安全和基礎設施安全局（CISA）也將此漏洞列入其「已知被利用的漏洞目錄」中，並敦促相關組織在2025年9月11日前完成修復，突顯了此漏洞的嚴重性。

使用者應立即採取的防護措施

此事件再次提醒我們，沒有任何系統是絕對安全的，持續性的警戒與行動是不可或缺的。對於廣大用戶而言，最直接且有效的防護措施就是立即更新你的蘋果裝置至最新版本。蘋果的軟體更新不僅僅是提供新功能，更重要的是修補已知的安全漏洞，是抵禦駭客攻擊的第一道防線。此外，用戶也應採取額外的預防措施，例如在訊息應用程式中，暫時停用圖片自動下載功能，以減少接觸潛在惡意檔案的機會。同時，保持對可疑來源的警覺，避免開啟不明來源的圖片或檔案，雖然這類「零點擊」攻擊不需用戶互動，但許多惡意軟體仍舊需要用戶不經意的操作來完成入侵。總而言之，面對日益進化的網路威脅，即時更新、保持警覺並採取多層次防護，是確保個人數位資產安全的關鍵。

資料來源：https://hackread.com/hackers-take-over-apple-devices-malicious-images-patch/