Apple 修复影响 iOS、macOS 及其他设备的被利用零日漏洞

Apple 于周三发布 iOS、iPadOS、macOS Tahoe、tvOS、watchOS 和 visionOS 更新，以修复其称已在复杂网络攻击中被利用的零日漏洞。

该漏洞被标记为 CVE-2026-20700（CVSS 评分：暂无），是一种 dyld（Apple 动态链接编辑器）的内存损坏问题。成功利用该漏洞的攻击者若具备内存写入能力，可在受影响设备上执行任意代码。Google Threat Analysis Group（TAG）被认定为发现并报告此漏洞的团队。

Apple 在公告中表示：“我们已获悉此问题可能在针对特定目标的极其复杂攻击中被利用，攻击针对的是 iOS 26 之前的版本。” 同时，针对该报告还发布了 CVE-2025-14174 与 CVE-2025-43529 两个漏洞的修复。

值得注意的是，CVE-2025-14174 与 CVE-2025-43529 已在 2025 年 12 月由 Apple 处理，其中前者最初由 Google 披露，称已在野外被利用。CVE-2025-14174（CVSS 评分：8.8）涉及 ANGLE 的 Metal 渲染器组件的越界内存访问。Metal 是 Apple 开发的高性能硬件加速图形与计算 API。

CVE-2025-43529（CVSS 评分：8.8）则是 WebKit 中的 Use‑After‑Free 漏洞，在处理恶意构造的网页内容时可能导致任意代码执行。

以下设备和操作系统已提供相应更新：

• iOS 26.3 与 iPadOS 26.3 - 适用于 iPhone 11 及以后机型、iPad Pro 12.9 英寸第 3 代及以后、iPad Pro 11 英寸第 1 代及以后、iPad Air 第 3 代及以后、iPad 第 8 代及以后以及 iPad mini 第 5 代及以后。
• macOS Tahoe 26.3 - 适用于运行 macOS Tahoe 的 Mac。
• tvOS 26.3 - 适用于 Apple TV HD 与所有型号的 Apple TV 4K。
• watchOS 26.3 - 适用于 Apple Watch Series 6 及以后型号。
• visionOS 26.3 - 适用于所有型号的 Apple Vision Pro。

此外，Apple 还发布了针对旧版 iOS、iPadOS、macOS 与 Safari 的更新：

• iOS 18.7.5 与 iPadOS 18.7.5 - 适用于 iPhone XS、iPhone XS Max、iPhone XR、iPad 第 7 代。
• macOS Sequoia 15.7.4 - 适用于运行 macOS Sequoia 的 Mac。
• macOS Sonoma 14.8.4 - 适用于运行 macOS Sonoma 的 Mac。
• Safari 26.3 - 适用于运行 macOS Sonoma 与 macOS Sequoia 的 Mac。

此次更新标志着 Apple 在 2026 年首次应对已被主动利用的零日漏洞。去年，Apple 已修补了九个在野外被利用的零日漏洞。