蘋果修復(fù)WebKit漏洞，防止iOS和macOS同源策略繞過(guò)攻擊

蘋果公司周二發(fā)布了首輪后臺(tái)安全改進(jìn)，修復(fù)了影響iOS、iPadOS和macOS的WebKit安全漏洞。

該漏洞編號(hào)為CVE-2026-20643，被描述為WebKit導(dǎo)航API中的跨源問(wèn)題。攻擊者可以利用惡意制作的網(wǎng)頁(yè)內(nèi)容繞過(guò)同源策略。

受影響的系統(tǒng)版本

該漏洞影響iOS 26.3.1、iPadOS 26.3.1、macOS 26.3.1和macOS 26.3.2版本。蘋果已通過(guò)改進(jìn)輸入驗(yàn)證的方式，在iOS 26.3.1 (a)、iPadOS 26.3.1 (a)、macOS 26.3.1 (a)和macOS 26.3.2 (a)版本中修復(fù)了這一問(wèn)題。安全研究員Thomas Espach發(fā)現(xiàn)并報(bào)告了這一漏洞。

后臺(tái)安全改進(jìn)功能

蘋果表示，后臺(tái)安全改進(jìn)旨在為Safari瀏覽器、WebKit框架棧和其他系統(tǒng)庫(kù)等組件提供輕量級(jí)安全發(fā)布。這種機(jī)制通過(guò)小型持續(xù)安全補(bǔ)丁的形式提供修復(fù)，而不是作為大型軟件更新的一部分發(fā)布。

該功能在iOS 26.1、iPadOS 26.1和macOS 26及之后版本中受到支持并默認(rèn)啟用。如果發(fā)現(xiàn)兼容性問(wèn)題，改進(jìn)可能會(huì)被臨時(shí)移除，然后在后續(xù)軟件更新中進(jìn)行增強(qiáng)。

用戶可以通過(guò)設(shè)置應(yīng)用中的隱私和安全菜單控制后臺(tái)安全改進(jìn)。為確保自動(dòng)安裝，建議保持"自動(dòng)安裝"選項(xiàng)開啟。值得注意的是，如果用戶選擇禁用此設(shè)置，他們將不得不等到下一次軟件更新才能獲得這些改進(jìn)。從這個(gè)角度來(lái)看，該功能類似于蘋果在iOS 16中引入的快速安全響應(yīng)功能。

蘋果在幫助文檔中指出："如果已應(yīng)用后臺(tái)安全改進(jìn)，而您選擇將其移除，您的設(shè)備將回退到基準(zhǔn)軟件更新版本，不會(huì)應(yīng)用任何后臺(tái)安全改進(jìn)。"

近期安全動(dòng)態(tài)

這一更新距離蘋果修復(fù)一個(gè)被積極利用的零日漏洞僅過(guò)去一個(gè)多月。該漏洞影響iOS、iPadOS、macOS Tahoe、tvOS、watchOS和visionOS系統(tǒng)，可能導(dǎo)致任意代碼執(zhí)行。

上周，蘋果還擴(kuò)展了對(duì)四個(gè)安全漏洞的補(bǔ)丁修復(fù)，這些漏洞曾被Coruna漏洞利用工具包武器化利用。

Q&A

Q1：什么是后臺(tái)安全改進(jìn)功能？

A：后臺(tái)安全改進(jìn)是蘋果推出的一種輕量級(jí)安全更新機(jī)制，專門用于Safari瀏覽器、WebKit框架和系統(tǒng)庫(kù)等組件。它通過(guò)小型持續(xù)補(bǔ)丁的形式提供安全修復(fù)，無(wú)需等待大型系統(tǒng)更新，類似于iOS 16中的快速安全響應(yīng)功能。

Q2：CVE-2026-20643漏洞有什么危害？

A：這是WebKit導(dǎo)航API中的跨源漏洞，攻擊者可以通過(guò)惡意制作的網(wǎng)頁(yè)內(nèi)容繞過(guò)同源策略。同源策略是網(wǎng)頁(yè)安全的重要機(jī)制，一旦被繞過(guò)，可能導(dǎo)致敏感數(shù)據(jù)泄露或其他安全威脅。

Q3：如何確保設(shè)備自動(dòng)獲得后臺(tái)安全改進(jìn)？

A：用戶需要在設(shè)置應(yīng)用的隱私和安全菜單中保持"自動(dòng)安裝"選項(xiàng)開啟。如果禁用此設(shè)置，用戶將無(wú)法及時(shí)獲得安全修復(fù)，需要等到下次大型軟件更新才能獲得這些改進(jìn)。