iPhone用戶注意!iOS 18.6安全漏洞驚爆23項,蘋果呼籲快更新

Apple新聞 / 2025-07-30 / 作者: / iOS18更新, ipad, iphone, 安全性更新

蘋果今(30)日正式釋出 iOS 18.6正式版更新,雖然並未加入任何重大新功能,但此版本也針對 iPhone 帶來高達 12 項改進與優化,同時還揭露 iOS 18 多項潛在23項安全漏洞,並且在 iOS 18.6 進行修補,蘋果也強烈警告 iPhone 用戶建議盡快升級。

iPhone用戶注意!iOS 18.6安全漏洞驚爆23項,蘋果呼籲快更新

根據蘋果官方安全支援文件指出,這次 iOS 18.6 更新共修補高達20項潛在安全漏洞,雖然官方尚無公開表示此批安全漏洞是否已經遭到駭客實際利用,但仍強烈建議所有 iPhone 使用者盡速升級。

不管是 iOS 18.6 與 iPadOS 18.6 都修補超過 20 個安全漏洞,主要重大漏洞包括WebKit 共 8 項修正,包括可能導致 Safari 當機、敏感資訊外洩與記憶體異常錯誤無障礙功能漏洞,以及系統處理惡意設計的音訊檔案,可能導致記憶體損毀、App 異常終止,同時安全研究發現 VoiceOver 可能朗讀鎖定密碼,造成潛在隱私風險。

此外,蘋果也針對無法升級至 iPadOS 18.6 的舊款 iPad 裝置,蘋果同步推出 iPadOS 17.7.9,提供部分相同安全性修補。

iphone durability apple silicon valley lab tests explained a4

iOS 18.6 和 iPadOS 18.6 安全漏洞修補內容整理

Accessibility 無障礙功能(漏洞1)

  • 影響說明:在特定情況下,VoiceOver 可能會將用戶的密碼(Passcode)朗讀出來,造成潛在的隱私洩露風險。
  • 修正描述:此為一邏輯錯誤,蘋果已透過強化邏輯檢查機制加以修補。
  • CVE 編號:CVE-2025-31229(回報者:Wong Wee Xiang)

Accessibility 無障礙功能(漏洞2)

  • 影響說明:當應用程式使用麥克風或相機時,系統的隱私權指示器(例如畫面右上角顯示的綠色或橘色點)可能無法正確顯示,導致使用者無法得知裝置是否正在存取敏感硬體。
  • 修正描述:蘋果透過新增邏輯判斷,修正此異常顯示問題。
  • CVE 編號:CVE-2025-43217(回報者:Himanshu Bharti/@Xpl0itme)

afclip 元件

  • 影響說明:當系統處理特定格式或結構異常的檔案時,可能會導致應用程式意外終止(閃退),影響使用者體驗與資料處理的穩定性。
  • 修正描述:蘋果已透過改善記憶體處理機制,有效修正此類異常行為。
  • CVE 編號:CVE-2025-43186(回報者:Hossein Lotfi/@hosselot,隸屬趨勢科技 Zero Day Initiative)

CFNetwork

  • 影響說明:非特權使用者可能藉由特定操作方式修改受限的網路設定,造成潛在的安全性與服務可用性問題,進一步導致拒絕服務(Denial of Service, DoS)狀況。
  • 修正描述:蘋果透過強化輸入驗證(Input Validation)機制,修復此網路設定權限錯誤問題。
  • CVE 編號:CVE-2025-43223(回報者:Andreas Jaegersberger 與 Ro Achterberg,Nosebeard Labs)

CoreAudio 音訊處理元件

  • 影響說明:若系統處理經過惡意設計的音訊檔案,可能觸發記憶體損毀(Memory Corruption)漏洞,進而導致應用程式異常終止或潛在的執行風險。
  • 修正描述:蘋果已改善 CoreAudio 模組的記憶體處理方式,有效防堵此類攻擊手法。
  • CVE 編號:CVE-2025-43277(回報單位:Google 威脅分析小組 Threat Analysis Group)

CoreMedia 媒體處理模組

  • 影響說明:在處理特製的惡意媒體檔案時,可能導致應用程式意外終止,或造成程序記憶體損壞,影響系統穩定性甚至產生潛在安全風險。
  • 修正描述:此問題為邊界檢查不足(Out-of-Bounds Access),蘋果已透過加強邊界檢查機制進行修復。
  • CVE 編號:CVE-2025-43210(回報者:Hossein Lotfi/@hosselot,隸屬趨勢科技 Zero Day Initiative)

CoreMedia Playback 媒體播放模組

  • 影響說明:應用程式可能在未經授權的情況下存取使用者的敏感資料,帶來潛在隱私風險。
  • 修正描述:蘋果透過強化權限檢查(Permissions Checks),修復這項未授權資料存取的問題。
  • CVE 編號:CVE-2025-43230(回報者:張啟元/Chi Yuan Chang,隸屬 ZUSO ART 與 taikosoup)

ICU

  • 影響說明:若裝置處理經特別設計的惡意網頁內容,可能導致 Safari 瀏覽器意外閃退(Crash),影響使用者瀏覽體驗與系統穩定性。
  • 修正描述:此為一項越界存取(Out-of-Bounds Access)問題,蘋果已透過加強邊界檢查(Bounds Checking)進行修補。
  • CVE 編號:CVE-2025-43209(回報者:Gary Kwong,與趨勢科技 Zero Day Initiative 合作)

ImageIO 圖像處理模組

  • 影響說明:當系統處理惡意設計的圖像檔案時,可能觸發越界讀取(Out-of-Bounds Read),進而導致程序記憶體內容被洩露,造成潛在資訊安全風險。
  • 修正描述:蘋果已透過加強輸入驗證(Input Validation)機制,有效防止此類漏洞發生。
  • CVE 編號:CVE-2025-43226

libnetcore 網路核心模組

  • 影響說明:當系統處理特定檔案時,可能引發記憶體損毀(Memory Corruption),帶來潛在系統穩定性與安全風險。
  • 修正描述:蘋果已改善記憶體處理機制,有效修補此安全漏洞。
  • CVE 編號:CVE-2025-43202(回報者:Brian Carpenter)

libxml2 XML 處理模組

  • 影響說明:在處理特定檔案時,可能導致記憶體損毀,影響裝置安全性。
  • 修正描述:此為來自開源專案的漏洞,蘋果軟體為受影響項目之一。CVE 編號由第三方分配,詳情可至 CVE.org 查詢。
  • CVE 編號:CVE-2025-7425
  • 回報者:Sergei Glazunov(Google Project Zero)

libxslt XSLT 樣式表轉換模組

  • 影響說明:當系統處理經惡意設計的網頁內容時,可能引發記憶體損毀,造成執行階段錯誤或潛在攻擊風險。
  • 修正描述:此漏洞亦源自開源專案,蘋果產品為受波及項目之一。相關資訊由第三方分配並公開於 CVE.org。
  • CVE 編號:CVE-2025-7424
  • 回報者:Ivan Fratric(Google Project Zero)

Mail Drafts 郵件草稿模組

  • 影響說明:即使使用者已關閉「載入遠端圖像」設定,系統仍可能載入遠端內容,造成資訊外洩風險。
  • 修正描述:蘋果透過改善狀態管理機制,修補此項設定邏輯漏洞。
  • CVE 編號:CVE-2025-31276
  • 回報者:Himanshu Bharti(@Xpl0itme)

Metal 圖形渲染框架

  • 影響說明:處理惡意設計的紋理資料時,可能導致 App 異常終止。
  • 修正描述:蘋果強化輸入驗證機制,解決多項記憶體損毀問題。
  • CVE 編號:CVE-2025-43234
  • 回報者:Vlad Stolyarov(Google 威脅分析小組)

Model I/O 模型輸入模組(漏洞1)

  • 影響說明:處理惡意設計的媒體檔案時,可能造成 App 異常終止或程序記憶體損毀。
  • 修正描述:蘋果強化邊界檢查機制,防止越界存取問題。
  • CVE 編號:CVE-2025-43224、CVE-2025-43221
  • 回報者:Michael DePlante(@izobashi,趨勢科技 Zero Day Initiative)

Model I/O 模型輸入模組(漏洞2)

  • 影響說明:處理惡意設計的檔案時,可能導致 App 異常終止。
  • 修正描述:蘋果透過改善記憶體處理方式,修復輸入驗證缺陷。
  • CVE 編號:CVE-2025-31281
  • 回報者:Michael DePlante(@izobashi,趨勢科技 Zero Day Initiative)

WebKit 瀏覽器核心引擎(漏洞1)

  • 影響說明:造訪惡意網站可能導致地址列遭偽造(Address Bar Spoofing)。
  • 修正描述:蘋果透過改善使用者介面設計,防範此類攻擊行為。
  • CVE 編號:CVE-2025-43228(WebKit Bugzilla: 294374)
  • 回報者:Jaydev Ahire

WebKit 瀏覽器核心引擎(漏洞2)

  • 影響說明:處理惡意網頁內容時,可能洩露使用者敏感資訊。
  • 修正描述:蘋果透過強化狀態管理,修補該安全漏洞。
  • CVE 編號:CVE-2025-43227(WebKit Bugzilla: 292888)
  • 回報者:Gilad Moav

WebKit 瀏覽器核心引擎(漏洞3)

  • 影響說明:處理惡意網頁內容可能導致記憶體損毀。
  • 修正描述:蘋果透過優化記憶體管理,解決此項問題。
  • CVE 編號
    • CVE-2025-31278(WebKit Bugzilla: 291742)
    • CVE-2025-31277(WebKit Bugzilla: 291745)
    • CVE-2025-31273(WebKit Bugzilla: 293579)
  • 回報者:Yuhao Hu、Yan Kang、Chenggang Wu、Xiaojie Wei

WebKit 瀏覽器核心引擎(漏洞4)

  • 影響說明:處理特定網頁內容可能導致拒絕服務(DoS)情況發生。
  • 修正描述:透過加強記憶體處理流程,降低崩潰風險。
  • CVE 編號:CVE-2025-43211(WebKit Bugzilla: 293730)
  • 回報者:Yuhao Hu、Yan Kang、Chenggang Wu、Xiaojie Wei

WebKit 瀏覽器核心引擎(漏洞5)

  • 影響說明:處理特製網頁內容時,可能越界讀取並洩露應用程式內部狀態。
  • 修正描述:蘋果透過加強輸入驗證,防止越界存取。
  • CVE 編號:CVE-2025-43265(WebKit Bugzilla: 294182)
  • 回報者:HexRabbit(@h3xr4bb1t,DEVCORE 安全研究團隊)

WebKit 瀏覽器核心引擎(漏洞6)

  • 影響說明:惡意網頁內容可能導致 Safari 非預期崩潰。
  • 修正描述:蘋果改善記憶體管理,以解決 use-after-free 安全風險。
  • CVE 編號:CVE-2025-43216(WebKit Bugzilla: 295382)
  • 回報者:Ignacio Sanmillan(@ulexec)

WebKit 瀏覽器核心引擎(漏洞7)

  • 影響說明:處理惡意網頁內容可能導致 Safari 崩潰,此漏洞來自開源程式碼,Apple 軟體亦受影響。
  • 修正描述:此問題由第三方發現並編號,可於 CVE.org 查詢更多資訊。
  • CVE 編號:CVE-2025-6558(WebKit Bugzilla: 296459)
  • 回報者:Clément Lecigne 與 Vlad Stolyarov(Google 威脅分析小組)
更新懶人包 👉 iOS 18.6正式更新來了!12項重點改進、優化和修復全面解析

其他人也在看:

  • 蘋果推出iOS 18.3.2更新!修正WebKit安全漏洞和重要錯誤一覽
  • 【iOS 18.2災情】常見iPhone更新耗電、發燙線上回報與統計專區(持續更新)
  • 維修小心!蘋果將iPhone XS等熱門機列復古名單多款iPad停產
  • iOS 26預覽App功能解析:17招iPhone和iPad內建預覽技巧上手攻略

    • 想了解更多Apple資訊、iPhone教學和3C資訊技巧,歡迎追蹤 瘋先生FB粉絲團訂閱瘋先生Google新聞TelegramInstagram以及 訂閱瘋先生YouTube
    返回頂端