苹果本周发布了iOS 16.3和iPadOS 16.3，其中包含30多项安全漏洞修复，其中包括一个已被用于“极其复杂攻击”的漏洞。

最严重的漏洞编号为CVE-2026-20700，由谷歌威胁分析小组（Google Threat Analysis Group）通报。该漏洞存在于操作系统动态链接编辑器（dyld）中，其功能是加载应用程序所需的函数库。该漏洞属于内存损坏类型，成功利用后可使具有内存写入能力的应用程序在iOS设备上执行任意代码。苹果确认，该漏洞可能已被用于针对旧版iOS设备的特定用户实施“极其复杂的攻击”。

苹果的安全公告还包含CVE-2025-14174和CVE-2025-43529。这两个漏洞已于去年12月修复，苹果指出它们曾被用于极其复杂的攻击行动。

CVE-2026-20700漏洞影响iPhone 11及后续型号，以及iPad Pro 12.9英寸第3代、iPad Pro 11英寸第1代、iPad Air第3代、iPad第8代、iPad mini第5代。

其余修复的漏洞涵盖内核、ImageIO、核心服务、核心媒体或录音组件、信息应用、照片应用、CFNetwork、蓝牙、辅助功能等模块。苹果未提供风险评分。其中较重要的漏洞包括：

● CFNetwork漏洞CVE-2026-20660可让远程攻击者写入任意文件

● 内核漏洞CVE-2026-20626，以及核心服务（CoreServices）漏洞CVE-2026-20615与CVE-2026-20617，若被利用，可能导致应用程序权限提升至root级别

● 由趋势科技旗下的Zero Day Initiative (ZDI)通报的ImageIO漏洞CVE-2026-20675和CVE-2026-20634，可通过恶意图片触发，导致用户信息和程序内存泄露

● 核心服务漏洞CVE-2026-20627可使应用程序访问敏感数据

● 蓝牙漏洞CVE-2026-20650允许攻击者通过蓝牙数据包造成拒绝服务（DoS）