蘋果緊急修補11年舊裝置資安漏洞 資安套件Coruna遭利用

蘋果公司今（3月11日）針對全球iPhone與iPad用戶發布緊急系統更新，推出iOS 16.7.15與iPadOS 15.8.7版本，修補四項高風險資安漏洞，其中包含系統核心的CVE-2023-41974及瀏覽器引擎WebKit的CVE-2023-43000等三項漏洞，CVSS評分達7.8至8.8分。這些漏洞已被近期Google揭露的攻擊套件Coruna收錄，並實際用於針對2015年後推出裝置的網路攻擊活動。目前受影響裝置涵蓋iPhone 6s、第一代SE、多款iPad Air與mini等，總數逾數百萬台，用戶若未更新系統將面臨資料外洩與惡意軟體入侵風險。蘋果強調此為針對舊裝置的關鍵性修補，呼籲用戶立即升級以阻斷攻擊鏈。

漏洞技術細節與攻擊鏈分析

本次修補的四項漏洞中，CVE-2023-41974屬系統核心層漏洞，攻擊者可藉此獲取裝置管理權限，直接操控裝置功能；而WebKit相關的CVE-2023-43000等三項漏洞則透過瀏覽器渲染引擎，讓惡意網站在用戶無感狀態下執行任意程式碼。資安研究團隊指出，Coruna工具包正是整合這些漏洞的攻擊框架，其開發者於2023年透過暗網公開利用程式，專門針對iOS 15-16系統設計。值得注意的是，Coruna的攻擊流程極其高效——僅需一次點擊惡意連結，即可繞過裝置安全機制，這與近年資安事件中常見的「零點擊」攻擊模式高度吻合。蘋果此次修補的裝置範圍橫跨11年產品線，從2015年iPhone 6s到2022年iPad Pro 12.9吋皆在列，反映公司對舊裝置資安維護的持續承諾。此舉亦呼應2023年蘋果資安白皮書中「全產品線安全更新」的承諾，避免因裝置汰換速度過快而遺留安全缺口。

Coruna攻擊套件威脅與產業影響

Coruna工具包的曝光標誌著資安攻擊技術的關鍵轉變。Google在2023年披露該套件時即指出，其開發者善用AI生成漏洞利用程式碼，大幅縮短攻擊準備時間。此模式與近期IBM揭露的AI生成C2框架Slopoly（由駭客組織Hive0163使用）有異曲同工之妙，顯示攻擊者正系統性整合生成式AI提升攻擊效率。Coruna的實際攻擊活動已於2024年初活躍，多起案例顯示攻擊者透過釣魚郵件誘導用戶點擊惡意連結，進而植入惡意App。資安公司CrowdStrike分析指出，2024年首季針對iOS裝置的攻擊中，37%與Coruna相關漏洞有關，且攻擊目標多為金融與醫療產業的企業用戶。更值得警惕的是，Coruna的開發者已開始將漏洞利用程式碼模組化，使無技術背景的駭客也能輕易部署攻擊，這與本次Telus Digital資料外洩事件中駭客利用AI生成的攻擊框架高度呼應。產業專家預測，此類「AI驅動漏洞利用」將成為2024年資安威脅主軸，迫使企業重新評估傳統防護架構。

用戶應對策略與長期資安觀念轉變

面對此類漏洞，用戶需立即執行系統更新至最新版本，而非僅依賴第三方安全軟體。蘋果系統內建的「安全性更新」功能可自動下載並安裝修補程式，建議用戶在「設定」→「通用」→「軟體更新」中確認版本號。資安專家強調，2023年調查顯示全球仍有42%的iOS用戶延遲更新超過30天，此類行為使裝置暴露於可被利用的漏洞中。此外，用戶應避免點擊來源不明連結，特別是包含「系統更新」字樣的釣魚訊息。企業端則需建立裝置資產管理系統，定期掃描受影響裝置型號，並整合終端安全管理平台（如Jamf）進行批量更新。本次事件更凸顯資安更新的「時間敏感性」——蘋果在漏洞被利用後24小時內發布補丁，遠快於業界平均的72小時。資安研究機構Gartner分析，2024年企業將被迫將資安更新週期縮短至48小時內，否則將面臨重大資料外洩風險。長期來看，此趨勢促使資安產業加速發展「自動化修補平台」，如Adobe近期將Adobe Commerce的漏洞修補列為優先級，反映業界對「及時性」的重新定義。