iOS 18.7.7 正式推送，這次建議所有人更新

2026·04·02

iOS 18.7.7，終于更新了。

4 月 2 日上午，蘋果突然推送了 iOS 18.7.7、iPadOS 18.7.7 正式版。

如之前所說，這次更新主要是為了封堵 DarkSword 漏洞，以免用戶遭受更大的損失。

因為著急，蘋果又鬧了個烏龍。它為 iPad 9 開放了 iPadOS 18.7.7 的驗證通道，即使是 iPadOS 26 也能降級。

不過通道很快就被關閉了，目前已經無法降級。

可以看到，DarkSword 讓蘋果徹底亂了分寸，它暴露了蘋果自家的 Webkit 引擎，既不開放，也不安全的事實。

iOS 強制所有瀏覽器必須使用 WebKit，第三方不能用自家引擎，用戶別無選擇。

如果不更新系統，用戶只需打開一個危險網站，黑客就能利用 DarkSord 攻擊鏈直接黑進手機，并在短短幾分鐘內拿走iCloud 數據、文件、筆記、錢包、照片等數據，然后抹去一切痕跡。

打完就跑，潤物細無聲。

而且它的觸發方式非常簡單，一個鏈接、一個廣告彈窗，就是攻擊入口。黑客甚至會攻擊那些知名的正規網站，掛上 exploit，以此來降低用戶的戒心，基本上是防不勝防。

這個漏洞的危險程度，要遠遠高于之前發布的任何漏洞。

更關鍵的是，DarkSword 的利用代碼，還在 GitHub 中開源了。

這才區區兩三天，開發者就利用 DarkSword 開發出了 FontChanger。

這是一個字體替換工具，實測已經給一臺搭載 iOS 26.0 系統的 iPhone SE2，更換了不同的字體。

它支持 iOS 17.0 - iOS 18.7.1，甚至 iOS 26.0 - iOS 26.0.1。iOS 26 都被突破了，天知道以后還會出什么新工具。

這可能是玩機黨的勝利，卻是普通人的大敗局。DarkSword 漏洞開始“商用”，也意味著老系統不再安全。

為什么？因為 DarkSword 把蘋果的 WebKit 引擎“打穿了”。

iOS 所有瀏覽器，都采用 Webkit 這個單一引擎，第三方引擎仍未開放，所以你換什么瀏覽器都沒用。

甚至應用內網頁，廣告組件，支付跳轉頁，都是同一套 WebKit 引擎。所有能跳轉網頁，啟動網頁的交互，都有可能變成木馬的觸發器——而且用戶根本感知不到。

因此，對大多數人來說，如果運行的是 iOS 18 以下系統，都強烈建議更新到 iOS 18.7.7，或者 iOS 26.3 以上。

因為，即使你知道這個漏洞的原理、影響、后果，也無法永遠規避風險。還是更新系統吧，至少心里踏實。