凌晨三点被手机震醒,系统更新弹窗又来了。刚想骂苹果连补丁都搞突袭,突然想起前阵子朋友 iPhone 被钓鱼短信黑掉通讯录的事 —— 对方用浏览器漏洞直接绕过沙盒防护,精准定位到相册里那张拍过银行卡的照片。 这次 18.3.2 更新补的正是这种致命后门。沙盒机制就像给每个 APP 套上防爆玻璃,但 WebKit 引擎的越界写入漏洞能让恶意代码像液态金属,沿着内存地址的裂缝渗透进系统内核。去年某国会议员的加密聊天记录泄露,据说就是栽在类似漏洞上。 特别留意到这次连 Vision Pro 都没放过,全平台统一打补丁的操作实属罕见。想起之前 macOS 有个漏洞让黑客能通过网页调用摄像头而不触发绿灯,苹果这次应该是把整个 WebContent 沙盒的边界检测算法重构了。建议所有设备都更,尤其是还在用 iOS17 的用户 —— 安全团队发现攻击者已经批量扫描 17.2 以下系统的设备,像极了当年 Pegasus 间谍软件的操作手法。 更新完实测 Safari 加载速度反而快了 5%,可能底层的内存管理机制优化才是隐性福利。现在每次看到系统更新都条件反射查 CVE 漏洞库,数字时代的生存法则就是永远比黑客快一步点下那个「立即安装」。
