苹果(Apple)于 3 月 18 日上午紧急向 iPhone 用户推送最新的 iOS 26.3.1 (a) 安全性更新,这次的「a」版本更新并没有带来任何新功能,而是专注于修补一个 WebKit 核心漏洞。
大家可能会好奇,为什么这次的 iOS 26.3.1 版本后面多了一个英文字a到底是什么?这是苹果针对系统安全推出的背景安全性改进机制(Background Security Improvement;简称BSI),这次也算是首次推出,并取代取代过去几年采用的快速安全更新。
背景安全性改进主要是为 Safari、WebKit 与其他核心系统函式库提供额外防护,缩短安全漏洞暴露的时间,要是系统出现极度危险、且可能已经被骇客利用的零日漏洞时,苹果就不需要大费周章推出完整的 iOS 系统升级(例如 iOS 26.3.2),而是通过几十 MB 的超小包装,直接把漏洞补起来,主要特色如下:
- 档案极小: 下载与安装速度极快,通常不到 5 分钟即可完成。
- 仅限特定用户: 只有升级到新版iOS 26.3.1 的设备才会收到此推播。
本次发布的 BSI 更新涵盖 macOS Tahoe 26.3.1、iOS 26.3.1 与 iPadOS 26.3.1;此外,苹果也同步推出仅限 MacBook Neo 的 macOS Tahoe 26.3.2 版本更新。官方指出,该漏洞已通过加强输入验证机制完成修补,降低潜在风险。
根据官方的发布说明,这次 iOS 26.3.1 (a) 主要是修复了 Safari 浏览器底层引擎 WebKit 的重大漏洞,该漏洞可能让恶意网页内容绕过「同源政策」,进而影响使用者的浏览安全。
这次修正不确定与「Corina」恶意攻击是否有关,该漏洞离谱的地方在于它属于「免点击攻击」或「网页挂马」的变种,只要不小心浏览到被植入恶意程式的网页,黑客就能利用这个 WebKit 漏洞绕过苹果的安全沙盒(Sandbox),直接在你的 iPhone 背景偷偷安装越狱插件或恶意软体,进而窃取你的密码、照片与个人隐私,也正是苹果为何必须在紧急释出安全修正的原因。
