谷歌苹果紧急推送安全更新！零日漏洞遭定向攻击，涉及数十亿设备

【量子位 2025年12月13日讯】全球两大科技巨头同日启动“安全应急响应”。12月12日，谷歌与苹果相继发布紧急安全更新，修复已被黑客实际利用的“零日漏洞”——这类漏洞在厂商发现前就已被用于攻击，波及Chrome浏览器、iPhone、iPad、Mac等数十亿设备。更严峻的是，本次攻击被指向 nation-state actors（国家背景攻击者）与商业间谍软件厂商，目标锁定高价值人群，而非大规模攻击，凸显网络安全威胁的精准化趋势。

漏洞详情：谷歌Chrome、苹果全产品线皆中招，部分漏洞已被实战利用

根据两家公司官方公告及安全研究机构披露，此次需紧急修复的漏洞集中在核心组件，且均存在“已被利用”的明确证据：

• 谷歌：Chrome浏览器第四起零日漏洞，V8引擎成重灾区谷歌针对Chrome浏览器推出紧急补丁，修复编号为CVE-2025-6554的“类型混淆”漏洞——该漏洞位于Chrome的V8 JavaScript引擎（负责处理网页内容渲染），被评级为“高危”。安全研究员指出，攻击者可通过诱导用户访问恶意网页，操纵浏览器内存，实现“任意读写”甚至植入间谍软件。值得注意的是，这是2025年Chrome修复的第四起被实战利用的零日漏洞，此前3月的CVE-2025-2783、5月的CVE-2025-4664、6月的CVE-2025-5419均以紧急更新收场。本次漏洞由谷歌威胁分析小组（TAG）发现，该团队长期追踪国家背景黑客与商业监控软件，其介入暗示攻击可能与高级间谍活动相关。目前修复版本已覆盖全平台：Windows用户需升级至138.0.7204.96/.97，Mac用户为138.0.7204.92/.93，Linux用户为138.0.7204.96；Edge、Brave、Opera等Chromium内核浏览器也需同步更新，避免漏洞传导。

• 苹果：25个漏洞集中修复，WebKit漏洞致旧版设备暴露风险苹果同步推送iOS 26.2、iPadOS 26.2、macOS Tahoe 26.2更新，一次性修复25个安全漏洞，其中CVE-2025-14174与CVE-2025-43529两个WebKit漏洞（WebKit为苹果浏览器核心组件）需重点关注——苹果官方证实，这两个漏洞已被用于“针对特定个人的极复杂定向攻击”，主要影响iOS 26及更早版本设备。漏洞危害直指核心：攻击者可通过恶意网页触发“任意代码执行”，进而控制设备；此外，苹果还修复了两处高危漏洞：一是App Store的CVE-2025-46288权限问题，曾允许应用非法访问支付令牌，可能导致支付信息泄露；二是内核级CVE-2025-46285整数溢出漏洞，攻击者可利用其引发系统崩溃或获取Root权限（完全控制设备）。此次漏洞修复背后，字节跳动、阿里巴巴等中国企业贡献显著：字节跳动IES红队发现App Store支付漏洞，阿里巴巴安全研究员则揭露了内核级漏洞，最终协助苹果完成底层逻辑修复。

攻击特征：定向瞄准高价值人群，国家背景与商业间谍软件联手

从漏洞利用方式与追踪信息来看，本次攻击并非普通 cybercrime（网络犯罪），而是具备“高级持续性”特征：

• 攻击目标：精准锁定特定人群，非大规模扩散谷歌与苹果均强调，攻击“未波及大量用户”，而是聚焦“高价值个体”——可能包括政要、企业高管、记者、人权活动人士等。这类目标通常是 nation-state actors 与商业间谍软件厂商的重点关注对象，攻击目的多为获取敏感信息、实施监控，而非盗取普通用户数据或牟利。

• 攻击主体：国家背景与商业机构协同，技术手段成熟谷歌TAG与苹果安全团队联合调查后指出，攻击链条涉及“国家背景攻击者”与“商业间谍软件供应商”的协作——前者提供情报支持与攻击目标清单，后者则利用零日漏洞开发攻击工具（如定制化间谍软件）。这类工具隐蔽性极强，可绕过常规安全软件检测，且在漏洞被修复后会快速切换攻击手段，增加防御难度。

应急指南：全平台更新步骤详解，这些设备需立即行动

面对已被利用的零日漏洞，“立即更新”是唯一有效防御手段。以下为各平台更新操作指南：

• Chrome浏览器（全平台）

1. 点击右上角三点菜单，选择“设置”；

2. 下拉至“关于Chrome”选项，浏览器会自动检测更新并下载；

3. 重启Chrome后，补丁生效。用户可通过“设置-关于Chrome”确认版本号是否符合修复要求。

• 苹果设备（iPhone/iPad/Mac）

• iPhone/iPad：打开“设置-通用-软件更新”，点击下载并安装iOS 26.2/iPadOS 26.2（需确保电量充足或连接电源）；

• Mac：点击屏幕左上角苹果图标，选择“系统设置-通用-软件更新”，安装macOS Tahoe 26.2；苹果提醒，即使未收到攻击通知，所有用户也需更新——旧版系统（尤其是iOS 25及以下）漏洞暴露风险极高。

• 安卓设备（含谷歌Pixel及其他品牌）谷歌此前已在12月4日发布安卓安全公告，修复107个漏洞（含两个零日漏洞），受影响设备覆盖安卓13至16版本。用户需：

1. 打开“设置-安全-系统更新”，检查并安装最新补丁；

2. 三星、小米、vivo等厂商已同步推送定制化补丁，用户需关注品牌官方更新通知。

行业警示：零日漏洞攻击常态化，用户需建立“主动防御”意识

此次事件再次暴露全球科技生态的安全脆弱性——即便是谷歌、苹果这样的巨头，也难以完全规避零日漏洞风险。安全专家给出三点建议：

1. 关闭“自动更新”需谨慎：部分用户为避免更新打扰关闭自动更新，实则增加漏洞暴露时间，建议开启“重要安全更新自动安装”；

2. 警惕陌生链接与网页：本次漏洞多通过恶意网页触发，避免点击不明来源链接，尤其是邮件、短信中的可疑网址；

3. 定期检查设备安全状态：苹果用户可通过“设置-隐私与安全性-安全建议”查看设备风险，安卓用户可借助系统自带安全中心（如谷歌Play Protect）扫描恶意软件。

目前，谷歌与苹果均未披露更多攻击细节（如具体受影响人数、攻击发起地区），但表示将持续追踪攻击溯源。对普通用户而言，这场“紧急更新”不仅是一次漏洞修复，更是一堂网络安全课——在零日漏洞攻击常态化的当下，“及时更新系统”已成为数字时代的“基本安全素养”。