紧急预警！iOS最新高危漏洞爆发，23个漏洞打包扩散，已野外攻击

截至2026年3月6日，苹果近期密集推送2次系统补丁，紧急封堵多个已被野外利用的高危漏洞，更可怕的是，一套包含23个独立漏洞的国家级攻击工具包已扩散至黑产，覆盖近5年所有iPhone机型，无差别攻击普通用户！

不同于以往的单一漏洞，此次漏洞呈现"批量爆发+快速扩散"特征，小到隐私泄露，大到设备被完全接管，波及范围之广、危害程度之高，堪称2026年iOS安全最大危机。建议所有果粉先收藏，再逐条核对自己的设备是否处于风险中。

一、必看！iOS 26.3.1紧急补丁：3个在野漏洞，必更！

3月5日，苹果紧急推送iOS 26.3.1正式版（内部版本号23D8133），官方仅简要提及"提升系统稳定性"，但实际是封堵了3个已被真实攻击利用的高危漏洞，苹果官方明确建议"所有兼容机型立即升级"。

1. WebKit远程代码执行漏洞（RCE）

这是此次补丁中最危险的漏洞，无需用户任何额外操作，仅需诱导用户访问一个恶意网页，就能利用Safari内核漏洞，在设备后台执行任意代码。

✅ 攻击场景：攻击者伪装成正规网站（如电商、理财页面），用户点击链接、甚至只是打开网页预览，就可能中招；

✅ 核心危害：远程接管设备、安装间谍软件、窃取通讯录、照片、支付密码等所有敏感数据；

✅ 影响机型：iPhone 11/12/13/14/15/16/17e、SE 2/3全系列，基本覆盖当前主流机型。

2. 权限绕过漏洞

该漏洞直接突破iOS系统的权限校验机制，攻击者通过恶意App或隐藏代码，无需用户授权，就能非法读取设备内的隐私数据，包括但不限于：

• 通讯录、短信、通话记录；

• 照片、视频、备忘录；

• 支付信息、定位轨迹、浏览器历史。

不同于常规的隐私泄露，该漏洞无需触发任何弹窗提醒，用户完全无感知，隐蔽性极强。

3. 沙盒逃逸漏洞

iOS的"沙盒机制"本是保护用户数据的核心防线，相当于给每个App划定独立的"隔离区"，禁止跨App访问数据。但该漏洞能让恶意应用突破沙盒限制，自由读写系统核心文件。

✅ 危害：窃取系统级数据（如Apple ID登录凭证、系统日志），甚至修改系统设置，让设备陷入"被控制"状态，后续难以彻底清除恶意程序。

二、致命零日漏洞：隐藏17年，被用于国家级定向攻击

在iOS 26.3（2月11日）版本中，苹果已修复一个横跨整个iPhone发展史的零日漏洞------CVE-2026-20700（CVSS 7.8），该漏洞自iOS 1.0时代就存在，被秘密用于国家级定向攻击。

漏洞核心细节

• 涉及组件：dyld（iOS动态链接器），是系统最底层的核心组件，负责加载所有App和系统模块；

• 漏洞原理：内存越界漏洞，攻击者利用该漏洞获得内存写入权限，进而执行任意代码，绕过iOS几乎所有防护机制（包括代码签名、权限校验）；

• 修复范围：iOS 26.3及以上版本、iPadOS 26.3及以上版本，覆盖全平台设备；

• 风险提醒：若你的设备仍停留在iOS 26以下版本，目前仍处于高危风险中，极易被定向攻击。

三、最危险的危机：23个漏洞打包扩散，从国家级到黑产

3月3日，谷歌威胁情报小组（GTIG）与iVerify安全团队同时披露，一套名为Coruna（内部代号CryptoWaters）的iOS漏洞利用工具包已大规模泄露，该工具包包含5条完整攻击链、23个独立漏洞，堪称"iOS漏洞合集"。

1. Coruna工具包：从国家级到黑产的三级扩散

该工具包最初用于商业监控、国家级定向攻击，如今已完全扩散至网络犯罪团伙手中，实现"三级渗透"，对普通用户构成致命威胁：

① 第一阶段（2025年2月）：商业监控公司使用，定向攻击高价值目标，利用CVE-2024-23222等漏洞，具备强定向性；

② 第二阶段（2025年夏季）：俄罗斯背景间谍组织UNC6353利用其，对乌克兰用户实施水坑攻击，入侵正规网站植入恶意代码；

③ 第三阶段（2025年底-2026年初）：黑产组织UNC6691滥用，伪装成加密货币交易所、空投页面，无差别攻击全球iOS用户，已影响至少42000台设备。

2. 23个漏洞明细（核心高危）

Coruna工具包的漏洞覆盖iOS 13.0至iOS 17.2.1全版本，核心漏洞分为5大类，模块化设计，可"一键式"发起无文件攻击：

• WebKit远程代码执行漏洞（5个）：覆盖各iOS版本，是攻击的核心入口；

• 指针认证码（PAC）绕过漏洞（5个）：突破iOS用户态代码签名防护；

• 沙盒逃逸漏洞（2个）：突破App隔离限制，获取系统访问权限；

• 本地权限提升漏洞（6个）：从普通用户权限突破至系统Root权限；

• 页面保护层（PPL）绕过漏洞（5个）：突破内核级内存保护机制。

3. 攻击流程：无需用户交互，一键入侵

Coruna工具包的攻击全流程无需用户手动操作，属于典型的"无感知入侵"：

1. 初始投放：通过入侵正规网站植入隐藏iframe，或搭建虚假金融、加密货币网站，诱导用户访问；

2. 环境校验：检测设备是否为iOS、是否开启锁定模式/隐私浏览，规避安全检测；

3. 漏洞利用：根据iOS版本，自动加载对应漏洞链，实现远程代码执行、沙盒逃逸；

4. 权限提升：获取Root权限，植入恶意载荷，窃取数据或控制设备；

5. 痕迹清除：攻击失败后自动清理崩溃日志，不留任何痕迹。

四、立即行动！3步做好防护，避免中招

结合此次所有漏洞的风险，整理了最简洁、最有效的防护步骤，建议所有iPhone用户立即执行，尤其是使用旧机型的用户。

第一步：立即升级系统（最核心）

• 主流机型（iPhone 11及以上）：直接升级至iOS 26.3.1，封堵3个在野高危漏洞；

• 旧机型（iPhone XS、XR及以下）：升级至对应最新版本（如iPhone XS可升级至iOS 18.7.5）；

• 升级路径：设置 → 通用 → 软件更新（建议插电、连接WiFi，电量≥50%）。

第二步：开启3个安全设置，筑牢防线

1. 开启自动更新：设置 → 通用 → 软件更新 → 开启"自动更新"，后续系统补丁将自动推送安装，避免遗漏；

2. Safari安全设置：打开Safari → 设置 → 开启"欺诈网站警告""跨站跟踪防护"，拦截恶意网页；

3. 开启锁定模式：设置 → 隐私与安全性 → 锁定模式 → 开启，可有效抵御Coruna等高级攻击工具包（适合高风险用户）。

第三步：养成2个安全习惯，规避攻击

1. 不点击陌生链接、不访问非正规网站，尤其警惕"加密货币空投""免费领礼品"等诱导性页面；

2. 不安装未信任App，拒绝从第三方平台下载App，仅从App Store下载，避免恶意软件植入。

五、常见问题答疑

Q1：我的iPhone是旧机型，无法升级到iOS 26.3.1，怎么办？

A1：旧机型（如iPhone XS、8）升级至对应最新版本即可，苹果已为旧机型推送针对性漏洞补丁；同时严格规避陌生链接，开启Safari安全防护。

Q2：升级系统后，会影响设备流畅度吗？

A2：iOS 26.3.1属于紧急安全补丁，无新功能新增，仅修复漏洞，实测对iPhone 15/16系列的发热、续航还有小幅优化，不会影响流畅度。

Q3：如何判断自己的设备是否已被攻击？

A3：若出现以下3种情况，需警惕：① 设备莫名卡顿、耗电加快；② Safari频繁弹出异常页面；③ 出现陌生App（未手动安装），建议立即升级系统并重启设备，必要时恢复出厂设置。

最后提醒

此次iOS漏洞爆发，再次打破"iOS绝对安全"的认知------从隐藏17年的零日漏洞，到23个漏洞打包扩散，攻击手段越来越隐蔽，危害越来越大。

对于普通用户而言，"及时升级系统"是最简单、最有效的防护手段，没有之一。建议大家不仅自己升级，还要提醒身边的家人、朋友，尤其是老年人和不熟悉手机操作的人，避免因遗漏升级而遭受损失。