苹果修补十年之久的iOS零日漏洞

摘要

Apple发布iOS 26.3安全更新，修补了一个存在长达十年的零日漏洞CVE-2026-20700。该漏洞由Google威胁分析小组发现，位于dyld动态链接器中，允许攻击者绕过安全沙箱执行任意代码。安全专家将其与商业监控行业开发的Pegasus等间谍软件相提并论，认为这是一个极其复杂的攻击链条，可能被用于针对特定个人的高度针对性攻击。

内容框架与概述

本文报道了Apple近期发布的重要安全更新，修复了一个存在超过十年的严重漏洞。该漏洞编号为CVE-2026-20700，位于iOS系统的dyld动态链接器组件中，安全专家形象地将其比喻为绕过大楼门禁的万能钥匙。

漏洞的严重性在于其可被利用的方式。通过与WebKit浏览器引擎中的其他漏洞结合，攻击者能够实现零点击或单点击的完全设备控制。这意味着用户只需浏览恶意网页，攻击者即可获取设备的全部权限，整个过程无需用户进一步交互。

安全研究人员将此漏洞与商业监控行业的间谍软件工具相联系，指出这类复杂攻击通常由专门开发高级入侵技术的公司出售给政府客户。与同批修复的其他次要漏洞不同，dyld/WebKit漏洞链代表了一个全新级别的安全威胁。

核心概念及解读

零日漏洞（Zero-day）：指软件供应商未知且尚未修复的漏洞，攻击者可利用此时间差发起攻击。

dyld动态链接器：Apple系统中的关键组件，负责在应用启动前完成代码加载和安全检查，被形象称为系统的看门人。

商业监控行业：开发并销售高级入侵技术的私营公司，开发Pegasus等著名间谍软件并将工具出售给政府客户。

攻击链（Exploit Chain）：将多个漏洞组合使用的攻击技术，利用不同阶段的漏洞逐步突破系统防护。

零点击攻击（Zero-click）：无需用户任何交互即可执行的入侵方式，通过恶意内容自动触发漏洞。

原文信息

此摘要卡片由 AI 自动生成