蘋果iOS 26.3修補「極複雜」零時差漏洞

蘋果本周公布iOS 26.3、iPadOS 26.3，當中包含30多項安全漏洞的修補程式，包括一個已發生可用於「極複雜」攻擊的漏洞。

最嚴重的是編號CVE-2026-20700，是由Google威脅分析小組（Google Threat Analysis Group）通報的漏洞，位於作業系統動態連結編輯器（Dynamic Link Editor，dyld），其作用是載入應用程式所需的函式庫。該漏洞為記憶體毀損類型，成功觸發可讓具有記憶體寫入能力的應用程式在iOS裝置上執行任意程式碼。蘋果獲知，這漏洞可能已經被用於對舊版iOS裝置的特定個人用戶執行「極複雜的攻擊」。

蘋果並說，安全公告還包括CVE-2025-14174及CVE-2025-43529。蘋果於去年12月修補了這二個漏洞，並指已被用於極度複雜的攻擊行動。

CVE-2026-20700問題影響iPhone 11及以後版本（以下同），以及iPad Pro 12.9吋第3代、iPad Pro 11吋第1代、iPad Air第3代、iPad第8代、iPad mini第5代。

其餘修補的漏洞影響涵括核心、ImageIO、核心服務、核心媒體或錄音元件、訊息程式、相片程式、CFNetwork、藍牙、輔助功能等。蘋果沒有提供風險值評分。其中較重大的漏洞包括：

● CFNetwork漏洞CVE-2026-20660可使遠端攻擊者寫入任意檔案

● 核心漏洞CVE-2026-20626，以及核心服務（CoreServices）漏洞CVE-2026-20615與CVE-2026-20617，若遭濫用，可能導致應用程式提升權限至root層級。

● 由趨勢旗下Zero Day Initiative (ZDI)通報的ImageIO漏洞CVE-2026-20675及CVE-2026-20634，可被惡意相片觸發洩露用戶資訊與程序記憶體、

● 核心服務漏洞CVE-2026-20627可使App存取敏感資料

● 藍牙漏洞CVE-2026-20650允許攻擊者以藍牙封包造成阻斷服務（DoS）。