苹果修复2026年首个被利用的零日漏洞

苹果于周二发布了跨操作系统的安全更新，修复了一个关键的零日漏洞。该公司表示，该漏洞在针对特定个人的复杂攻击中被主动利用。

漏洞编号为CVE-2026-20700，影响dyld（苹果的动态链接编辑器）。这是一个核心系统组件，负责在iOS、iPadOS、macOS等平台上加载和链接动态库。苹果在安全公告中确认，攻击者可能通过内存写入执行任意代码，并获悉该漏洞被用于针对特定目标的极其复杂攻击中。

谷歌威胁分析小组发现了这一漏洞并向苹果报告。该小组主要调查政府支持的黑客和商业间谍软件供应商。安全公告还指出，此前发布的两个漏洞CVE-2025-14174和CVE-2025-43529也是同一攻击报告的一部分。这表明这些漏洞被串联起来用于协同攻击活动。

据福布斯报道，这些较早的WebKit漏洞已在2025年12月随iOS 26.2版本发布时修补。安全专家认为，这些漏洞组合利用可能实现了“零点击”攻击，无需用户交互即可入侵设备。

Huntress公司副首席信息安全官Brian Milbier将dyld形容为“手机的门卫”。他警告称，通过将这个漏洞与WebKit漏洞结合利用，攻击者设计出了获得“完全控制权”的方法。他指出，这种复杂程度与商业监控行业制作的其他漏洞利用相似。

根据官方公告，苹果通过“改进状态管理”解决了内存损坏问题。该更新适用于iPhone 11及更新机型、第三代及更新版本的iPad Pro机型、第三代及更新版本的iPad Air、第八代及更新版本的iPad，以及第五代及更新版本的iPad mini。

iOS 26.3和iPadOS 26.3总共修复了超过35个安全漏洞，解决了内核、WebKit、CoreServices和其他组件中的缺陷。其他几项补丁修复了可能允许应用获取root权限的权限提升漏洞以及沙盒逃逸漏洞。

这是苹果在2026年修复的第一个被主动利用的零日漏洞，此前在2025年修复了七个此类漏洞。安全研究人员敦促用户立即更新设备，因为一旦补丁详情公开，公开披露的漏洞往往会面临更广泛的利用尝试。