企业官网建设流程全解析

聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

苹果发布非定期安全更新，修复了 iPhone 和 iPad 设备中的通知服务漏洞CVE-2026-28950，它可导致已被标记为删除的通知消息仍然保留在设备上，已于 2026 年 4 月 22 日在 iOS 26.4.2、iPadOS 26.4.2、以及 iOS 18.7.8 和 iPadOS 18.7.8 版本修复。

苹果在安全公告中提到，“被标记为删除的通知可能会意外地保留在设备上。”苹果提到，漏洞已通过改进数据清理机制得到修复，但未提供更多细节。该公司并未说明该漏洞是否已在攻击中被利用，也未解释为何在常规安全更新周期之外发布此修复，或者透露通知数据在设备上实际保留多长时间，以及这些数据可能以何种方式被恢复的技术细节。

尽管如此，但媒体 404 Media 近期报道称，美国联邦调查局 (FBI) 曾从一名嫌疑人的 iPhone 中恢复了在应用内已被删除的 Signal 消息副本。根据被告方支持者发布的庭审记录，被恢复的数据并非来自 Signal 加密的消息存储库，而是来自 iPhone 的通知存储系统。记录中写道：“消息是通过苹果的内部通知存储从 Sharp 的手机中恢复的——Signal 虽然已被卸载，但收到的通知仍保留在内部存储器中。”

Signal 公司对苹果修补这一威胁私密对话安全的漏洞表示赞赏，提到保护私密通信需要整个生态系统的共同努力。”媒体404 Media 还报道称，即使在设备上卸载 Signal 应用之后，通知数据仍然被保留。虽然苹果在安全公告中并未提及该案件，但其关于通知被保留在设备上的描述，与 404 Media 报道中描述的这类数据持久化现象高度吻合。

建议用户尽快安装最新的系统更新，以防止已删除的通知数据意外保留在设备上。此外，用户可以通过以下设置防止 Signal 消息内容被保存在 iOS 的通知数据存储中：进入 Signal 设置 > 通知 > 通知内容，将显示选项设置为“仅名称”或“不显示名称或内容”。

苹果并未回应此次更新相关问题。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

苹果新 0day 漏洞已用于“极其复杂的”攻击

苹果紧急修复两个已遭利用的 0day 漏洞

苹果零点击 RCE 漏洞最高赏金翻倍，可达500多万美元

谷歌披露可导致ASLR绕过的苹果漏洞

苹果 CarPlay 远程攻击可干扰汽车司机并实施监控

原文链接

https://www.bleepingcomputer.com/news/security/apple-fixes-ios-bug-that-retained-deleted-notification-data/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错，就点个 “在看” 或 "赞” 吧~