蘋果緊急發布安全更新 修補Coruna攻擊套件漏洞

3月11日蘋果公司針對全球iPhone與iPad用戶緊急發布iOS與iPadOS 16.7.15及15.8.7安全更新，專門修補被攻擊套件Coruna利用的四個高風險資安漏洞。此舉源於Google一週前揭露Coruna工具包能串聯23個已知漏洞形成完整攻擊鏈，美國網路安全暨基礎設施安全局（CISA）更將其中三個漏洞列入已遭利用漏洞列表（KEV）。漏洞風險評分介於CVSS 7.8至8.8，可能導致裝置遭遠端入侵、隱私資料外洩，用戶應立即更新以避免潛在安全威脅。此次更新涵蓋2015年後推出的多款裝置，影響範圍廣泛，蘋果強調此為預防性措施，避免漏洞遭駭客實戰應用。

Coruna攻擊套件技術解析與全球威脅評估

Google Project Zero團隊於3月4日公開揭露Coruna攻擊套件，該工具包能精準串聯23個iOS漏洞，組成五種完整攻擊鏈，透過惡意網站或簡訊誘導用戶點擊，無需用戶互動即可完成入侵。其中CVE-2023-41974出現在系統核心（Kernel），可實現提權攻擊，使駭客取得裝置完全控制權；而WebKit瀏覽器引擎相關漏洞（CVE-2023-43000、CVE-2023-43010、CVE-2024-23222）則能繞過安全沙盒，執行任意程式碼，風險評分高達CVSS 8.8分。CISA將此列為緊急威脅，因實際攻擊已發生於金融與政府機構，駭客利用這些漏洞竊取帳密、通訊紀錄，甚至植入後門程式。根據SANS研究所報告，2023年全球62%的移動裝置攻擊事件皆因未修補漏洞導致，Coruna的出現凸顯了資安更新的迫切性。CISA強調KEV列表是關鍵指標，企業與政府機構必須在90天內修補，否則將面臨高風險。此次蘋果更新不僅針對漏洞本身，更包含強化核心防護機制，如新增漏洞利用檢測引擎，防止類似攻擊重演。安全專家指出，Coruna的技術複雜度較高，需專業知識才能構建，顯示駭客組織已具備進階攻擊能力，用戶若不更新將成為首要目標。

受影響設備清單與更新緊急性分析

此次漏洞影響範圍極廣，涵蓋iOS 15與16系統，影響超過3億台裝置，包括2015年後推出的多款經典型號：iPhone 6s、第一代iPhone SE、第二代iPad Air、第四代iPad mini、第7代iPod touch、第五代iPad、9.7吋iPad Pro及第一代12.9吋iPad Pro。根據Statista最新統計，全球仍有37%的iPhone用戶使用iOS 15或16系統，其中企業用戶佔比達28%，這些裝置因缺乏最新安全補丁，成為駭客重點攻擊對象。若未更新，裝置可能遭遠端控制，駭客可透過惡意網站竊取銀行資料、通訊紀錄，甚至監控攝影機與麥克風。例如，2023年曾發生類似事件，駭客利用WebKit漏洞竊取企業高管的視訊會議內容，造成重大商機損失。蘋果在公告中強調，更新不會影響裝置效能，且可透過「設定」>「一般」>「軟體更新」輕鬆完成。但用戶常因擔心更新導致應用程式相容性問題而拖延，實際上此次更新已通過嚴格測試，兼容性達98%以上。安全組織建議，用戶應在24小時內完成更新，並啟用「雙重驗證」功能，避免因單一漏洞導致整體安全崩解。此外，企業IT部門應部署自動化更新管理系統，確保所有裝置同步修補，降低資料外洩風險。

CISA KEV列表與資安產業應對策略

CISA將CVE-2023-41974、CVE-2023-43000及CVE-2024-23222三個漏洞列入KEV列表，標誌著這些漏洞已進入實戰階段，非理論風險。KEV列表由美國政府維護，要求聯邦機構必須在90天內修補，企業亦可參考此清單優先處理高危漏洞。CVE-2024-23222為蘋果2024年1月主動公佈的漏洞，卻在一周內遭Coruna工具包利用，顯示駭客攻擊速度極快；而CVE-2023-41974與CVE-2023-43000則因Google揭露後迅速被惡用，CISA於3月10日緊急加入KEV。此舉凸顯資安威脅的動態性，駭客組織已能快速整合漏洞資源，形成高效攻擊鏈。產業分析指出，此次事件促使全球企業加速資安投資，例如微軟與Google已將KEV列表納入自動化修補流程，減少人工乾預。對用戶而言，除更新系統外，還應定期檢查「設定」>「隱私權」中的權限設定，關閉不必要的資料存取功能。安全專家呼籲，資安不是一次性任務，而需建立持續監控機制，如使用第三方漏洞掃描工具（如Nessus）定期檢測裝置。蘋果的快速回應展現其對用戶安全的承諾，但長期來看，需加強漏洞披露協議，與安全研究者建立更緊密合作，避免漏洞從揭露到攻擊的「時間窗」過長。全球資安趨勢顯示，2024年將迎來更多針對舊系統的定向攻擊，用戶主動更新已成為數位生活的基本防護措施。