无测试直接上线 iOS26.5.2!29 个高危漏洞一次性修复
苹果重要安全补丁iOS 26.5.2正式版,所有的iPhone用户都应尽快更新

iOS 26.5.2更新的界面
6月30日,苹果没有提前通知就发布了iOS 26.5.2(版本号为23F84),同时更新了iPadOS、macOS配套的安全固件,这次更新打破了苹果多年来的迭代惯例:跳过了开发者测试、公测灰度的过程,没有新的功能,只是一次性地封堵了29个底层高危的安全漏洞,并且官方表示所有支持iOS26的iPhone都应该进行升级。
一、为什么苹果会破例直接推送,而不等到大版本的iOS 26.6呢?
按照正常的进度,这 29 项安全修复本应整合到 7 月份的 iOS26.6 正式版一起发布,但是由于当下 AI 黑客工具的爆发式传播,迫使苹果不得不改变原来的计划:
AI 可以很快地用漏洞代码来编写出攻击程序,测试版一但泄露了漏洞信息,黑客只需要几天的时间就可以制作出木马入侵设备;
如果等到 iOS26.6 发布的话,就会有长达一个月的安全真空期,用户的隐私、支付、相册都有被偷的风险;
官方核实的结果是:目前还没有发现这批漏洞被野外攻击利用的情况,但是风险等级很高,需要缩短暴露时间尽快封堵。
本次距离上一个版本 iOS26.5.1 只有 28 天的时间,属于非常罕见的月度紧急安全补丁,安装包大小为 2.3GB 到 3.7GB,可以更新到 iPhone11 到 iPhone17 所有的机型上,全球超过 92% 使用苹果设备都可以进行更新。
二、29个高危漏洞分为三类,每类都有对隐私和安全的威胁
WebKit网页引擎漏洞(15个,本次重灾区)
Safari、微信/抖音/支付宝内置网页、各种APP内嵌浏览器共用WebKit内核,风险最大:
恶意链接、伪装图片、短视频可以触发远程代码执行,不需要点击弹窗就可以绕过系统的防护;
黑客跨域获取短信验证码、相册照片、账号Cookie;
预览恶意文件就可以进行后台入侵,属于零点击隐蔽攻击。
系统内核底层存在三个漏洞
内核就是手机最高权限底层,漏洞可以实现沙箱逃逸、权限越级:
突破App隔离限制,木马长期后台驻留,重启不能清除;
私自调取摄像头、定位、通话记录等信息,并进行全程静默监控;
绕过锁屏密码、Face ID,物理接触或者远程都可以读取本地文件。
多媒体和系统服务漏洞共11个
图片解析、iMessage 短信、蓝牙、媒体播放器组件等都包含在内:
陌生短信、PDF、图片预览瞬间就触发了系统的漏洞;
公共场所蓝牙近距离静默窃取备忘录、健康、支付数据;
第三方应用程序非法获取私密证件、银行卡照片等敏感信息。
三、更新之后的日常体验变化:没有新的功能,流畅度有小幅度的提升
本次纯安全补丁,更新页面只有一句话说明:本次更新只对iPhone进行了安全修复,并没有新的壁纸、AI功能或者交互变化,实测差异如下:
新款 iPhone 16/17 全系列:流畅度没有变化,温控有小幅度提升,日常使用续航基本一样,重度游戏时发热稍微减少一些;
iPhone 14/15 系列:网页加载稳定性提高,日常刷视频耗电没有明显增加;
iPhone 11/12 老旧机型:不卡顿,但是部分用户反映有轻微的续航下降,可以考虑推迟升级;
没有出现大面积黑屏、信号中断、APP闪退等兼容性问题,只提取了安全修复代码,并没有修改硬件驱动和动画底层。
四、两种人要马上更新,一种可以延后
尽快进行升级(大部分用户)
经常点击不明链接、接收不明图片短信、经常使用公共WiFi;
手机里存有身份证、银行卡、工作秘密、私人照片等信息,要重视财产和隐私的安全;
商务、职场人,设备里有客户的资料和账号密码,担心被远程监控。
夜雨聆风