本期 Security Bite 由 Mosyle 独家赞助。Mosyle 是唯一的 Apple 统一平台,专心只做一件事:让 Apple 设备既能高效办公,又安全可靠。我们独特的集成管理与安全方案,结合最先进的 Apple 原生安全技术,提供全自动的强化与合规、下一代 EDR、AI 驱动的零信任架构,以及独家的权限管理,再搭配市场上最强大、最现代的 Apple MDM,最终打造出完全自动化的 Apple 统一平台。目前已有超过 45,000 家组织信任我们,帮助数百万台 Apple 设备轻松进入工作状态,而且成本亲民。今天就申请我们的延长试用,体验为什么 Mosyle 是你用 Apple 设备办公时不可或缺的全部解决方案。
周二,苹果正式推送 iOS 26.4(之前一直在测试版),同时发布了一份内容丰富的安全补丁列表,修复了超过 35 个漏洞。虽然大多数小版本更新都会带一大堆修复,但这次有几个特别值得注意的地方,我想重点说说。
下面就是让我眼前一亮的几个。
被盗设备保护功能被绕过
这是这次最大的问题。漏洞编号 CVE-2026-28895,让拿到 iPhone 的人即使设备开启了被盗设备保护,也能仅用密码绕过生物识别保护的应用。这意味着那些通过长按 App 图标开启“需要 Face ID”的应用,本来应该更安全,结果还是能直接用设备密码打开。
如果你一直看 Security Bite,我在二月份刚详细讲过被盗设备保护的新变化,其中之一就是苹果从 iOS 26.4 开始默认开启这个功能。
被盗设备保护,顾名思义,就是为了让偷走的 iPhone 即使小偷知道你的密码也没法使用。
这样一个绕过方式,直接把这个功能的意义给破坏了。苹果表示这次通过加强检查修复了问题,现在已经打好补丁。
如果你想了解被盗设备保护是怎么来的,这里有它的前因后果。
本地攻击者可能访问你的钥匙串
CVE-2026-28864 也挺有意思的。苹果的描述不多,但核心是由于权限检查不足,本地攻击者有可能获取钥匙串里的内容。
钥匙串里存着密码、加密密钥、令牌等重要东西。这个漏洞属于比较严重的本地权限提升,虽然需要物理接触设备,但这恰恰是被盗设备保护想要重点防范的场景。
你的邮件隐私设置可能没生效……
CVE-2026-20692 显示,“隐藏 IP 地址”和“阻止所有远程内容”这两项设置可能没有对所有邮件内容生效。如果你之前在邮件 App 里打开了这些开关,结果你的 IP 地址还是可能被发件人看到,远程内容也照样加载了。
目前不清楚这个问题影响面有多大,但本来该工作的隐私功能却悄无声息地失效,这可不是什么好事。
通过打印功能实现沙箱逃逸
CVE-2026-20688 让某个 App 能通过打印框架里的路径处理问题逃出沙箱。这是 AirPrint 的一部分,用户可以用它无线打印东西。
沙箱逃逸一直都很关键,因为它是漏洞利用链里重要的一环。一旦跳出沙箱,攻击面就会大大扩大。
WebKit 这个月不太顺
总共有七个 CVE 外加一个沙箱问题。其中比较突出的包括同源策略绕过(CVE-2026-20643)、内容安全策略绕过(CVE-2026-20665),还有一个漏洞让恶意网站能在沙箱外处理受限的网页内容(CVE-2026-28859)。
最后一个尤其让人担心。
总结一下
好消息是这些漏洞都没有被列为已在野外被主动利用。但在一次小版本更新里出现这么多严重问题,还是挺值得注意的。
被盗设备保护被绕过、钥匙串访问问题、邮件隐私设置失效,这些都不是用户平常会遇到的普通小毛病。
我建议大家尽快把所有设备都更新到 26.4。
你可以在苹果的安全更新页面查看 iOS 26.4、macOS 26.4、tvOS 26.4、iPadOS 26.4 以及其他平台的完整补丁列表。
- Apple Podcasts
- Spotify
- Pocket Casts
- RSS Feed
