2026年2月13日,苹果公司发布系统更新,修复了一个编号为CVE-2026-20700的零日安全漏洞。该漏洞影响iOS系统最基础、最关键的组件——动态链接器dyld,这一模块自初代iPhone搭载的iOS 1.0起便已存在,伴随整个平台演进至今。
dyld在应用程序启动过程中承担加载与链接各类动态库的核心职责。安全研究人员将其形象地比作设备安全体系的第一道门禁。正常情况下,它会对应用进行合法性校验,并确保其运行于受限的沙箱环境中。然而此次漏洞使攻击者能在系统完成安全验证前绕过该机制,从而直接获得对操作系统的深层控制权限。
本次更新包含对多项WebKit相关漏洞的修补,而攻击者正是将dyld漏洞与其中部分WebKit缺陷协同利用,构建出一条完整的攻击路径。具体而言,攻击者首先借助伪造身份的方式突破浏览器层面的防护,继而触发dyld漏洞,最终实现对整台设备的完全接管。此类攻击无需用户交互,属于典型的零点击类型——仅需接收恶意内容,甚至未打开任何链接,设备即可能被入侵。
该漏洞长期未被发现并修复,原因在于dyld作为底层基础设施,虽运行稳定但结构异常复杂,任何修改均可能波及大量依赖模块。同时,为保障向后兼容性,系统对这类核心组件的调整极为审慎。过往安全审查往往聚焦于上层业务逻辑,对已长期稳定运行的基础模块关注不足;加之此类漏洞通常不单独显现,而是深嵌于多环节组合攻击之中,独立识别难度极高。
本文属于原创文章,如若转载,请注明来源:苹果紧急修复iOS底层dyld零日漏洞,可致零点击完全接管设备https://mobile.zol.com.cn/1133/11337694.html
