吳明宜蘋果昨日釋出 iOS 及 iPadOS 緊急安全更新 26.3 版,以修補多項漏洞,其中包含一個目前正遭到駭客利用的零時差漏洞(Zero-day vulnerability)。
本次更新主要修補編號為 CVE-2026-20700 的漏洞,該漏洞由 Google 威脅分析小組 (Threat Analysis Group) 發現。蘋果指出,該漏洞被用於針對特定人士發動的「極複雜」網路攻擊。
這項漏洞存在於作業系統的核心元件 dyld (Dynamic Link Editor),屬於記憶體損毀漏洞。簡單來說,這是由於系統無法正確管理記憶體使用,進而導致安全性缺口。攻擊者若成功濫用 CVE-2026-20700,即可執行任意程式碼,並在用戶的 iPhone 或 iPad 上執行惡意指令,例如未經許可安裝間諜軟體或竊取敏感資料。
儘管蘋果並未公布具體的攻擊事件細節,但已證實這項漏洞可能已被用來攻擊特定重要人物,如政治人物、政府官員、記者或異議人士等。
蘋果表示,CVE-2026-20700 與另外兩個舊漏洞(CVE-2025-14174 和 CVE-2025-43529)有關,而這兩個漏洞皆已被修補。資安研究人員研判,攻擊者可能將這些漏洞串聯使用,先利用單一漏洞駭入瀏覽器,再透過 dyld 漏洞取得裝置的完整控制權。
受影響的蘋果產品包括以下裝置:
-
iPhone: iPhone 11 及後續機型
-
iPad: iPad Pro(2018 年機型以後)、 iPad Air(第 3 代以後)及 iPad mini(第 5 代以後)
除了這個零時差漏洞外,iOS/iPadOS 26.3 更新還修補了其他高風險漏洞,包括:
-
藍牙與 Wi-Fi: 可讓鄰近的攻擊者造成手機死當或攔截網路流量。
-
相片與聯絡人: 可讓攻擊者讀取已上鎖手機的個人資訊和照片。
-
OS 核心: 可讓惡意 App 取得管理員/Root 權限。
鑑於漏洞已遭到濫用,建議用戶立即安裝更新。請前往裝置上的「設定」>「一般」>「軟體更新」,下載並安裝 iOS 及 iPadOS 26.3 。
來源: Gbhackers