Apple 已向 iPhone 用户发出高优先级安全警报,发布了 iOS 26.2 更新,以修复两个严重漏洞,这些漏洞已被攻击者在复杂的网络攻击中积极利用。该公司建议所有兼容型号的用户立即安装新软件,以保护自己免受可能的数据泄露和间谍活动的影响。
这些安全漏洞被称为“零日”,因为它们在修复可用之前就被利用了,存在于 WebKit 中,WebKit 是 Safari 和 Apple 生态系统中其他应用程序使用的网页渲染引擎。攻击的性质表明它们针对的是特定个人,但泄露事件的披露增加了所有使用过时设备的用户的风险。
此次更新被认为是必要的,因为没有其他缓解措施可以提供相同级别的保护。该公司通过更改更新政策来强调紧迫性,使迁移到最新版本的操作系统成为在新设备上接收安全补丁的唯一方法。
已修复漏洞的技术细节
iOS 26.2 中发现并修复的两个安全漏洞直接影响 WebKit 组件。第一个允许攻击者只需让用户访问恶意制作的网页即可在设备上执行任意代码。这意味着受害者无需下载文件或安装应用程序,只需访问受损的链接即可发起攻击。第二个漏洞涉及内存损坏,这是一种可被利用来破坏系统稳定性并使恶意行为者更容易控制的错误。
这些漏洞的发现是苹果内部安全团队和谷歌威胁分析小组的共同努力,突显了科技巨头之间在应对高级网络威胁方面的合作。对这两个缺陷的综合利用创建了一个强大的攻击媒介,非常适合安装雇佣间谍软件,商业销售的间谍工具可以在用户不知情的情况下监视设备上的所有活动。 Apple 实施的修复涉及内存管理的改进以及处理 Web 内容时的额外验证,以阻止此类利用。
Apple 更新政策的变更
通过此更新,Apple 巩固了其安全策略的重大变化。此前,该公司有时会为旧版 iOS 提供并行安全更新,让不想升级到最新主要版本的用户仍能收到关键修复程序。
但是,对于兼容 iOS 26 的设备,此选项不再可用。该公司现在要求用户安装最新版本的系统 iOS 26.2,以保持保护。这种方法可确保更多用户能够访问最新、最强大的安全功能。
该决定反映了数字威胁日益复杂和复杂。通过将用户群统一到最新的软件版本,Apple 可以确保整个生态系统的防御更加一致和有效,从而简化对未来安全事件的支持和响应。
如何安全地执行更新
要检查更新的可用性并开始安装,用户必须访问 iPhone 上的“设置”应用程序。在菜单中,选择“常规”选项,然后点击“软件更新”。设备将自动搜索可供下载的最新版本。
在开始此过程之前,强烈建议您的 iPhone 连接到稳定的 Wi-Fi 网络,以避免移动数据计划中断或过度消耗。 Apple 还要求设备至少有 50% 的电池电量或连接到电源才能继续安装。
尽管许多iPhone默认开启自动更新,但手动检查是确保安全补丁立即应用的最快方法。立即执行至关重要,尤其是在漏洞已被积极利用的情况下。
下载后,设备将提示您安装,这可能需要几分钟时间,并且需要重新启动。该过程完成后,您的 iPhone 将运行 iOS 26.2,并免受已修复的特定安全漏洞的影响。
延迟补丁安装的风险
如果 iPhone 没有安装 iOS 26.2 更新,用户将面临长期且不必要的漏洞。与“零日”故障相关的风险特别高,因为这意味着网络犯罪分子在公众意识到问题之前就已经拥有并使用一种工作方法来破坏设备。延迟安装安全补丁就像一扇敞开的大门,使攻击者能够继续改进他们的攻击技术并瞄准更多的受害者。暴露可能导致敏感个人信息被盗,例如银行凭证、密码、照片、联系人和私人消息,此外还允许安装能够监控所有用户活动(包括远程激活摄像头和麦克风)的间谍软件。随着漏洞的技术细节公开,更多的恶意团体,即使是最不复杂的团体,也可能会开发自己的利用工具,从而大大增加那些选择不更新的人的危险。
需要更新的 iPhone 型号
紧急更新对于多种型号至关重要。苹果已确认以下设备的所有者应立即安装 iOS 26.2:整个 iPhone 11 系列、iPhone 12 系列、iPhone 13 系列、iPhone 14 系列、iPhone 15 系列、最新的 iPhone 16 系列以及第二代 iPhone SE 或更高版本。
建议采取的额外保护措施
对于可能成为高度针对性攻击目标的用户,例如记者、活动人士或高管,Apple 提供了称为“锁定模式”的额外保护层。此功能极大地限制了 iPhone 的功能,从而限制了可被利用的攻击面。
除了系统更新之外,数字卫生实践对于整体安全仍然至关重要。建议避免点击通过电子邮件或消息收到的可疑链接,不要安装来自不可信来源的应用程序,并为每个在线服务使用强大且唯一的密码。
WebKit 在网络攻击中的作用
WebKit 是 Apple 操作系统的核心组件,不仅是 Safari 浏览器背后的引擎,也是从电子邮件客户端到社交网络等无数其他应用程序中 Web 内容显示的引擎。这种普遍性使其成为网络犯罪分子的高价值目标。
WebKit 中的一个缺陷就可以打开一个安全漏洞,该漏洞可以在多个应用程序中被利用,从而成倍地增加攻击成功的可能性。因此,修复此组件中的漏洞的更新被数字安全社区视为首要任务。
