近日,苹果公司向其操作系统发布了首轮“后台安全改进”,主要目的是修复一个存在于 WebKit 中的安全问题。此漏洞广泛影响了 iOS、iPadOS 以及 macOS 设备。
这个被追踪为 CVE-2026-20643 的漏洞,被描述为 WebKit 导航 API 中的一个跨域问题。攻击者可能通过诱导用户访问恶意构造的网页,借此漏洞绕过至关重要的 同源策略,从而窃取或篡改用户数据,构成严重的安全威胁。
具体而言,该漏洞波及了以下系统版本:
- iOS 26.3.1
- iPadOS 26.3.1
- macOS 26.3.1
- macOS 26.3.2
苹果公司已在后续发布的特殊更新版本中,通过改进输入验证机制,彻底解决了这一问题。这些修复版本包括:
- iOS 26.3.1 (a)
- iPadOS 26.3.1 (a)
- macOS 26.3.1 (a)
- macOS 26.3.2 (a)
据悉,此漏洞由安全研究员托马斯·埃斯帕奇发现并报告。苹果公司表示,“后台安全改进”是一项新推出的机制,旨在通过更小、更频繁的补丁包,为 Safari 浏览器、WebKit 框架栈以及其他核心系统库等组件提供轻量级的安全更新,而无需用户等待完整的系统版本升级。
这项功能从 iOS 26.1、iPadOS 26.1 和 macOS 26 系统开始支持并默认启用。用户可以在“设置”应用的“隐私与安全”菜单中找到并管理此功能。为确保能第一时间安装此类关键安全补丁,强烈建议用户保持“自动安装”选项处于开启状态。
苹果也特别提醒,如果用户选择手动关闭此功能,那么相关的安全修复将只能被包含在下一次完整的系统软件更新中才能获得。这套机制类似于苹果在 iOS 16 时代引入的“快速安全响应”功能。如果用户移除了已应用的后台安全改进补丁,设备的安全状态将会回退到未修复前的软件版本。
值得注意的是,在此次更新发布前不久,苹果刚刚修补了一个曾被积极利用的零日漏洞(CVE-2026-20700),该漏洞影响范围极广,覆盖 iOS、iPadOS、macOS Tahoe、tvOS、watchOS 和 visionOS,可导致任意代码执行,危害性极高。
此外,就在上周,苹果还扩展了针对四个安全漏洞(CVE-2023-43010、CVE-2023-43000、CVE-2023-41974 和 CVE-2024-23222)的补丁覆盖范围。这四个漏洞据称曾与臭名昭著的 Coruna 漏洞利用工具包相关联。
对于关注 网络安全 动态的开发者或安全研究人员来说,及时了解此类漏洞详情和修复方案至关重要。如果你想深入探讨 WebKit 或其他前端安全技术,可以到 云栈社区 的相关板块交流学习。 | 
发表于 1 小时前
|
查看: 2|
回复: 0
