Apple 近日發布安全更新,修補一項已遭實際攻擊利用的零時差漏洞 CVE-2026-20700。該公司在安全公告中指出,此漏洞曾被用於「極精密攻擊」,針對特定個人發動攻擊。這是 Apple 在 2026 年修補的首個零時差漏洞,受影響範圍涵蓋 iPhone、iPad、Mac、Apple TV、Apple Watch 及 Vision Pro 等全線產品。
漏洞技術細節
CVE-2026-20700 是一項存在於 dyld(Dynamic Link Editor,動態連結器)中的任意程式碼執行漏洞。dyld 是 Apple 作業系統的核心元件,負責在應用程式啟動時載入與連結動態函式庫,廣泛應用於 iOS、iPadOS、macOS、tvOS、watchOS 及 visionOS 等平台。
根據 Apple 安全公告說明,具備記憶體寫入能力的攻擊者可利用此漏洞,在受影響裝置上執行任意程式碼。由於 dyld 在系統中扮演的關鍵角色,一旦遭到利用,攻擊者可能取得裝置的深層控制權限。
此漏洞由 Google 威脅分析小組發現並通報。
攻擊事件涉及三個漏洞
Apple 在公告中特別指出,
CVE-2026-20700 與另外兩個已於去年 12 月修補的漏洞 CVE-2025-14174 及 CVE-2025-43529,曾在同一系列攻擊事件中遭到利用。這顯示攻擊者可能採用漏洞串聯手法,結合多個弱點以達成更具破壞力的攻擊效果。
Apple 表示已掌握相關攻擊報告,確認這些漏洞曾被用於針對「iOS 26 之前版本」的特定個人發動極精密攻擊。然而,該公司並未進一步揭露攻擊者身分、受害者類型或攻擊發生的地理區域等細節。
受影響裝置範圍
此次安全更新涵蓋 Apple 旗下多款產品線,受影響裝置包括:
- iPhone: iPhone 11 及後續機型
- iPad: iPad Pro 12.9 吋(第 3 代及後續機型)、iPad Pro 11 吋(第 1 代及後續機型)、iPad Air(第 3 代及後續機型)、iPad(第 8 代及後續機型)、iPad mini(第 5 代及後續機型)
- Mac: 所有執行 macOS Tahoe 的 Mac 裝置
- 其他裝置: Apple TV、Apple Watch 及 Vision Pro
Apple 已透過下列軟體版本修補此漏洞:iOS 18.7.5、iPadOS 18.7.5、macOS Tahoe 26.3、tvOS 26.3、watchOS 26.3、visionOS 26.3。用戶可透過裝置的「設定」或「系統設定」中的「軟體更新」功能,檢查並安裝最新版本。
本文轉載自bleepingcomputer。