蘋果稍早已釋出 iOS 26.3,且官方建議 iPhone 用戶應該立刻更新。因為蘋果指出,這次更新帶來重要的錯誤修正與安全性更新,蘋果提到 iOS 26.3 修補了 39 個安全漏洞,其中一個漏洞已被用於真實世界的攻擊。為了讓 iPhone 用戶有時間在攻擊者得知修補細節前完成更新,蘋果決定不公開這次修補了哪些漏洞。
不過蘋果仍透露,iOS 26.3 中已在真實攻擊被利用的漏洞,與 Dynamic Link Editor(dyld)有關。dyld 用於 iOS 與 macOS 在執行時載入並連結動態函式庫,是程式在 iOS 或 macOS 上啟動時最先執行的程式碼。該漏洞被指派的 CVE 編號為 CVE-2026-20700。蘋果在支援頁面寫道「蘋果已注意到有報告指出,此問題可能已在 iOS 26 之前的 iOS 版本中,被用於針對特定目標個人的極其複雜攻擊。」
若遭利用,攻擊者可能執行任意程式碼。用更白話的方式說,就是裝置被誘使去執行攻擊者的指令,而不是原本應執行的指令。揭露此漏洞的同一份報告來自 Google Threat Analysis Group;該團隊先前也曾揭露一對 WebKit 漏洞,並已在 iOS 26.2 中完成修補。
WebKit 漏洞 CVE-2025-14174、CVE-2025-43529,再加上 CVE-2026-20700,可能曾被用來將間諜軟體送進 iPhone,在 iOS 26.2 與 iOS 26.3 之間,兩次更新都處理了這個問題。若你尚未更新到 iOS 26.2 與 iOS 26.3,務必立刻安裝 iOS 26.3。蘋果的更新是累積式的,安裝最新版本就能一次補齊先前修補內容。要安裝 iOS 26.3,請在支援的 iPhone 上前往「設定」>「一般」>「軟體更新」,再依照指示操作。
強烈建議別再拖延,因為把兩個 WebKit 漏洞(CVE-2025-14174、CVE-2025-43529)與新漏洞(CVE-2026-20700)結合,會讓攻擊者取得一條「零點擊(zero-click)就能完全控制手機」的路徑。Managed Detection and Response(MDR)資安公司 Huntress 的副首席資訊安全長(Deputy CISO)Brian Milbier 表示,這類攻擊不需要 iPhone 用戶任何互動就可能被利用。
Milbier 也提醒,老舊硬體(舊款 iPhone)可能帶來風險。他指出,如果你的 iPhone 太舊而無法支援 iOS 26.3,它就永遠不會收到這些基礎性的修補。
ESET 全球資安顧問 Jake Moore 也建議「盡快行動」以確保 iPhone 安全。Moore 說,iOS 26.2 與 iOS 26.3 修補的數量之多,顯示犯罪分子持續不斷地在找漏洞,而當漏洞出現在 WebKit 之類的核心元件時更令人擔憂。
iOS 26.3 更新適用於 iPhone 11 系列及後續機型。蘋果昨天也為較舊的 iPhone(如 iPhone XS、iPhone XS Max、iPhone XR)釋出 iOS 18.7.5,用來防止 CVE-2026-20700 漏洞在這些舊機型上遭到利用。但若你的裝置可執行 iOS 26,蘋果將不再提供你選擇 iOS 18.7.5 的選項。
(首圖來源:科技新報)
科技新報粉絲團
加入好友
訂閱免費電子報
