Apple запустила свою новую программу «Фоновых улучшений безопасности», выпустив исправление для значительной уязвимости в браузерном движке WebKit. Уязвимость, идентифицированная как CVE-2026-20643, представляет собой проблему межсайтового взаимодействия в Navigation API, которая может позволить вредоносному веб-сайту обойти фундаментальную политику единого происхождения (Same-Origin Policy, SOP). SOP — это критически важный механизм безопасности, который ограничивает взаимодействие документов или скриптов из одного источника с ресурсами из другого источника, предотвращая кражу данных и захват сессий. Эта уязвимость затрагивала iOS 26.3.1, iPadOS 26.3.1, а также версии macOS 26.3.1 и 26.3.2. Apple устранила проблему за счёт улучшенной проверки входных данных в последующих обновлениях: iOS 26.3.1 (a), iPadOS 26.3.1 (a), macOS 26.3.1 (a) и macOS 26.3.2 (a). За обнаружение и ответственное раскрытие этой уязвимости отвечает исследователь безопасности Томас Эспаш.
Исправление было доставлено в рамках новой формализованной системы Apple «Фоновых улучшений безопасности». Эта структура предназначена для предоставления лёгких, целевых обновлений безопасности для ключевых компонентов, таких как браузер Safari, стек фреймворка WebKit и основные системные библиотеки. В отличие от традиционных полных обновлений операционной системы, эти улучшения доставляются в виде более мелких и частых патчей, что позволяет быстрее реагировать на возникающие угрозы без необходимости установки крупного обновления ПО. Функция, поддерживаемая начиная с iOS/iPadOS 26.1 и macOS 26, представляет собой стратегический сдвиг в сторону более гибкого обслуживания безопасности. Apple отмечает, что при обнаружении проблемы совместимости улучшение может быть временно отозвано, а затем повторно выпущено в усовершенствованном виде в рамках будущего обновления.
Для конечных пользователей управление этими фоновыми улучшениями безопасности осуществляется напрямую через меню настроек «Конфиденциальность и безопасность». Для обеспечения оптимальной защиты настоятельно рекомендуется держать опцию «Устанавливать автоматически» включённой. Этот параметр гарантирует, что критические патчи безопасности будут применены сразу после их выпуска, минимизируя окно уязвимости. Если пользователь отключает автоматическую установку, он не получит патч до тех пор, пока он не будет включён в последующее полное обновление ПО. Эта модель функционально аналогична функции «Быстрых ответов безопасности» (Rapid Security Response, RSR), представленной в iOS 16, что дополнительно оптимизирует способность Apple оперативно развёртывать исправления для уязвимостей, подобных этой в WebKit.
Внедрение фоновых улучшений безопасности знаменует собой значительную эволюцию в подходе Apple к безопасности, позволяя применять более проактивную и детализированную стратегию противодействия угрозам. Отделяя критические исправления безопасности от крупных функциональных обновлений, Apple может быстрее реагировать на уязвимости, представляющие непосредственный риск, такие как обход политики единого происхождения. Пользователям следует убедиться, что их устройства обновлены до исправленных версий и что автоматическая установка включена. Как уточняет Apple, если пользователь вручную удалит применённое фоновое улучшение безопасности, устройство вернётся к базовой версии ПО (например, iOS 26.3), лишившись этого конкретного улучшения безопасности и потенциально вновь подвергнув систему известным угрозам.
