快科技 2 月 13 日消息，近日，苹果发布更新修复了一个编号为 CVE-2026-20700 的零日漏洞。

该漏洞的特殊之处在于，它影响的并非边缘功能，而是 iOS 最核心、最底层的基础设施 dyld（动态链接器），并且这一漏洞自 iOS 1.0 时代起便已存在，几乎贯穿了整个 iPhone 的进化史。

dyld 负责在 App 启动时加载并链接各种动态库，安全专家 Milbier 将其比喻为手机的大门门卫。

通常情况下，dyld 会验证应用的合法性并将其隔离在沙箱中，但此次漏洞允许攻击者在安全检查启动前就骗过门卫，从而获取系统的核心控制权。

在 iOS 26.3 更新中，苹果同时修复了多项 WebKit 漏洞，而攻击者正是将 dyld 与 WebKit 漏洞组合利用，形成完整攻击链。

Milbier 解释称，攻击者先通过伪造身份突破浏览器防护，再利用 dyld 漏洞实现对整个设备的完全控制，这种攻击方式可实现零点击入侵，用户甚至无需点击链接，仅接收恶意内容就可能中招。

至于为何十余年后才修复，分析指出，dyld 这类底层组件虽稳定但高度复杂，任何改动都可能牵动成百上千个依赖模块。

加之历史兼容性要求极高，安全审计往往更关注业务逻辑层，而忽视这类成熟稳定的基础设施，此外这类漏洞通常隐匿于复杂攻击链中，单独发现难度极大。