一、问题发现 国家工业信息安全发展研究中心监测发现,此次漏洞出现苹果 WebKit 浏览器引擎的底层框架中;攻击者可通过恶意网页代码绕过系统防护,进而获取设备控制权限。与常见漏洞不同,该漏洞具备“无感触发”特点——用户只要访问特定网页就可能被攻击,无需进行任何授权或确认操作。 二、风险溯源 技术分析显示,漏洞源于系统内存管理模块的权限校验缺陷。该问题已在 iOS 17.3 版本中通过重构内存分配机制修复。需要关注的是,有关黑客组织已编写面向中文用户的定向攻击脚本,并通过伪装成“快递查询”“违章处理”等钓鱼页面进行传播。 三、影响评估 1. 设备范围:涉及近五年发布的 20 余款苹果设备,保守估计国内受影响用户超过 3000 万 2. 危害程度:可实现通讯录窃取、支付劫持、麦克风窃听等七类高风险行为 3. 特殊风险:企业用户通过 MDM 管理的设备若未更新,可能带来商业信息泄露风险 四、应对方案 工信部网络安全管理局提出三级防护策略: 1. 核心措施:尽快升级至 iOS 17.3 系统,更新包约 380MB,支持后台静默安装 2. 临时方案:对无法升级的 iPhone 7 等老旧设备,建议禁用 Safari 的 JavaScript 功能 3. 长效防护:开启 Apple ID 双重认证,关闭 iMessage 富媒体预览功能 五、行业启示 本次事件反映出三上问题: - 智能终端厂商对老旧设备的维护周期偏短 - WebKit 等开源组件的安全审计仍存在薄弱环节 - 用户对主动更新与防护的意识仍需加强 中国信通院专家透露,我国正在建立智能终端漏洞响应分级制度,未来或将对机龄超过 5 年的设备实施更严格的安全基线管理。
网络安全没有“一劳永逸”的办法。面对已被利用的高危漏洞,及时更新系统仍是最直接有效的防线;从更长周期看,把“少点一次陌生链接、少装一次不明应用、尽早开启双重验证”变成习惯,才能让安全补丁真正跑在风险前面。