2026 年 3 月 24 日Apple 发布了涵盖 iOS、iPadOS、macOS、visionOS 及 watchOS 的同步安全更新其中修复了一个编号为CVE-2026-28877的漏洞。该漏洞属于授权绕过类型允许本地安装的恶意 App 绕过系统授权机制直接访问用户的敏感数据。1. 漏洞概览属性详情CVE IDCVE-2026-28877漏洞类型授权绕过Authorization Bypass披露日期2026 年 3 月 25 日CVSS 3.1 评分5.5中等CWE 分类CWE-200敏感信息暴露利用条件本地访问 恶意 App 安装公开利用截至目前无公开 PoC/Exploit2. 技术深度剖析2.1 漏洞本质状态管理的缺失CVE-2026-28877 的根源在于 Apple 操作系统授权机制的状态管理缺陷。官方公告中的描述为“已通过改进状态管理解决授权问题”在正常授权流程中App 请求访问敏感数据时系统会触发权限验证。该验证过程涉及一个状态机用于跟踪授权流程的每个阶段从权限检查、用户许可提示到最终访问授权。然而在受影响版本中该状态机的状态转换逻辑存在缺陷使得攻击者可以操纵或绕过关键的授权检查点。该缺陷在技术层面可能属于以下两种情况之一或两者兼有条件竞争Race Condition在权限验证的某个短暂时间窗口内恶意 App 可以利用并发操作提前获取授权令牌或绕过最终检查。不当状态转换Improper State Transition攻击者可以将状态机推进到某个“已授权”的终态而无需完成前置步骤。Apple 的修复方案通过改进状态管理逻辑确保了授权流程的完整性和原子性使攻击者无法再通过篡改状态来绕过权限验证。2.2 影响组件Accounts 组件根据 Apple 官方安全公告该漏洞影响 macOS Tahoe 中的Accounts组件[reference:1]。Accounts 组件是 Apple 系统中管理用户账户信息、认证凭证和授权数据的关键底层框架。它负责管理用户账户的登录状态和认证令牌控制 App 对 iCloud 账户信息、邮件账户、通讯录等敏感数据的访问权限提供账户变更通知和同步机制。由于 Accounts 组件在 Apple 生态系统中处于高权限位置其权限控制如果被绕过恶意 App 将能获得远超其应有权力的数据访问能力。2.3 攻击场景该漏洞的攻击路径高度明确需满足以下条件前提条件攻击者必须获得在目标设备上安装并运行恶意 App 的能力可通过官方 App Store、企业分发MDM、TestFlight 测试渠道或社交工程诱导用户从非官方来源安装。攻击执行恶意 App 利用系统授权机制的状态管理缺陷发起攻击无需获取 root 权限。攻击结果成功利用后恶意 App 可绕过用户授权提示直接访问敏感用户数据包括但不限于iCloud 账户信息及 iCloud 云盘文件邮件账户及通讯录账户认证令牌和凭证其他受 Accounts 组件保护的账户相关数据[reference:2]。值得注意的是截至 CVE-2026-28877 发布时尚无公开可用的漏洞利用代码。然而这并不意味着恶意行为者无法独立发现和利用该漏洞。2.4 与 CVE-2026-28823 的区别macOS Tahoe 26.4 的安全性内容中还修复了另一个相关但不同的漏洞CVE-2026-28823影响Admin Framework组件描述为“拥有根权限的 App 或许能够删除受保护的系统文件”。这两个漏洞的影响范围存在明确差异CVE-2026-28877影响 Accounts 组件攻击者为普通权限 App可读取敏感数据CVE-2026-28823影响 Admin Framework攻击者需已具备根权限可删除系统文件。简言之CVE-2026-28877 的破坏链更短普通权限 App 即可直接访问敏感数据而 CVE-2026-28823 则需要更高的初始权限。3. CVSS 评分深度解析根据 NVD 和 CISA-ADP 的评估该漏洞的 CVSS 3.1 基础评分为5.5中等。评分向量CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N的详细解读如下指标值含义攻击路径AVLocal攻击者需要在目标设备上安装并运行恶意 App[reference:6]攻击复杂度ACLow利用过程无需特殊条件或复杂操作权限要求PRLow恶意 App 无需高级权限即可发起攻击用户交互UINone利用过程对用户透明无需额外操作范围SUnchanged漏洞影响仅限于当前安全边界内机密性影响CHigh敏感数据完全暴露完整性影响INone无法修改或删除数据可用性影响ANone不涉及系统可用性问题需要指出的是NVD 采用AV:L/AC:L/PR:L/UI:N向量得出5.5评分而 CISA-ADP 采用AV:L/AC:L/PR:N/UI:R向量无需权限但需要用户交互同样得出 5.5 评分。两种评估路径得出相同的最终评分表明该漏洞的严重程度评估具有较高一致性。4. 受影响产品与修复版本该漏洞影响 Apple 全线主流操作系统涉及版本覆盖广泛。以下是受影响版本与修复版本的完整对照表受影响系统受影响版本修复版本受影响设备示例iOS26.4 及更早版本iOS 26.4iPhone 11 及后续机型[reference:8]iPadOS26.4 及更早版本iPadOS 26.4iPad Pro 12.9 英寸第 3 代及后续机型[reference:9]macOS Sequoia15.7.5 及更早版本macOS Sequoia 15.7.5所有运行受影响 macOS Sequoia 版本的 MacmacOS Tahoe26.4 及更早版本macOS Tahoe 26.4所有运行受影响 macOS Tahoe 版本的 Mac[reference:10]visionOS26.4 及更早版本visionOS 26.4Apple Vision Pro所有型号[reference:11]watchOS26.4 及更早版本watchOS 26.4所有运行受影响 watchOS 版本的 Apple Watch[reference:12]⚠️特别注意部分旧版系统如 iOS 18.x可能不受 CVE-2026-28877 直接影响因 Accounts 组件在系统架构中存在差异。但为全面保障设备安全建议所有用户升级至官方推荐的最新版本。5. 时间线2026 年 3 月 24 日Apple 发布包含安全修复的系统更新2026 年 3 月 25 日CVE-2026-28877 正式发布至 NVD2026 年 3 月 27 日Apple 官方中文支持页面更新2026 年 4 月 2 日SecuriTricks 等安全站点开始发布技术分析。6. 发现者与致谢该漏洞由安全研究员Rosyna Keller发现并报告给 Apple。Rosyna Keller 隶属安全研究机构Totally Not Malicious Software。Apple 在其官方安全公告中向该研究员致谢。7. 开源漏洞背景说明Apple 官方安全公告中特别注明“这是开源代码中的一个漏洞Apple 软件也在受影响的项目之列。这个 CVE-ID 由第三方分配。这意味着 CVE-2026-28877 的原始漏洞存在于某个开源项目中Apple 的操作系统因使用了该开源组件而继承了该漏洞。从技术角度推测Accounts 组件可能依赖某个开源的身份认证或状态管理库该开源库中存在状态管理的安全缺陷。由于 Apple 未披露具体的开源项目名称建议企业安全团队关注后续披露信息。这一背景还解释了 CVE-2026-28877 影响范围广的原因开源组件的漏洞被多个 Apple 操作系统共用因此漏洞同时影响 iOS、macOS、visionOS 和 watchOS 等多个平台。8. 检测与缓解8.1 如何确认是否受影响用户可通过以下步骤快速确认系统版本iPhone / iPad设置 通用 关于本机查看“iOS 版本”或“iPadOS 版本”Mac点击左上角  关于本机查看“macOS 版本”Apple WatchWatch App 通用 关于本机Apple Vision Pro设置 通用 关于本机。若系统版本号低于上表所列修复版本则设备存在漏洞风险。8.2 官方修复建议唯一彻底的修复方案是将所有 Apple 设备更新至相应的修复版本iPhone / iPad设置 通用 软件更新Mac系统设置 通用 软件更新Apple WatchWatch App 通用 软件更新Apple Vision Pro设置 通用 软件更新。8.3 临时风险缓解在无法立即更新的情况下可采取以下措施降低风险仅从官方渠道安装应用避免安装来源不明的 App 或描述文件限制账户访问权限对于 macOS 设备可为日常操作创建标准用户账户而非管理员账户部署终端检测响应EDR监控异常的 App 权限请求和数据访问行为定期审计已安装应用移除不再使用或来源可疑的 App。9. 总结与建议CVE-2026-28877 是一个典型的本地授权绕过漏洞因 Apple 操作系统核心组件 Accounts 的状态管理缺陷导致。虽然 CVSS 评分仅 5.5中等但其对机密性的高度影响值得警惕一个低权限的恶意 App 即可在用户无感知的情况下读取 iCloud 账户信息等敏感数据。核心建议立即更新所有 Apple 设备至官方修复版本保持警惕即使从 App Store 安装应用也应留意异常的权限请求关注 Apple 安全公告及时跟进后续的漏洞披露信息。Apple 已通过改进状态管理彻底修复了该漏洞。请务必在第一时间完成系统更新确保设备和数据安全。