苹果修复WebKit漏洞，防止iOS和macOS同源策略绕过攻击

苹果公司周二发布了首轮后台安全改进，修复了影响iOS、iPadOS和macOS的WebKit安全漏洞。

该漏洞编号为CVE-2026-20643，被描述为WebKit导航API中的跨源问题。攻击者可以利用恶意制作的网页内容绕过同源策略。

受影响的系统版本

该漏洞影响iOS 26.3.1、iPadOS 26.3.1、macOS 26.3.1和macOS 26.3.2版本。苹果已通过改进输入验证的方式，在iOS 26.3.1 (a)、iPadOS 26.3.1 (a)、macOS 26.3.1 (a)和macOS 26.3.2 (a)版本中修复了这一问题。安全研究员Thomas Espach发现并报告了这一漏洞。

后台安全改进功能

苹果表示，后台安全改进旨在为Safari浏览器、WebKit框架栈和其他系统库等组件提供轻量级安全发布。这种机制通过小型持续安全补丁的形式提供修复，而不是作为大型软件更新的一部分发布。

该功能在iOS 26.1、iPadOS 26.1和macOS 26及之后版本中受到支持并默认启用。如果发现兼容性问题，改进可能会被临时移除，然后在后续软件更新中进行增强。

用户可以通过设置应用中的隐私和安全菜单控制后台安全改进。为确保自动安装，建议保持"自动安装"选项开启。值得注意的是，如果用户选择禁用此设置，他们将不得不等到下一次软件更新才能获得这些改进。从这个角度来看，该功能类似于苹果在iOS 16中引入的快速安全响应功能。

苹果在帮助文档中指出："如果已应用后台安全改进，而您选择将其移除，您的设备将回退到基准软件更新版本，不会应用任何后台安全改进。"

近期安全动态

这一更新距离苹果修复一个被积极利用的零日漏洞仅过去一个多月。该漏洞影响iOS、iPadOS、macOS Tahoe、tvOS、watchOS和visionOS系统，可能导致任意代码执行。

上周，苹果还扩展了对四个安全漏洞的补丁修复，这些漏洞曾被Coruna漏洞利用工具包武器化利用。

Q&A

Q1：什么是后台安全改进功能？

A：后台安全改进是苹果推出的一种轻量级安全更新机制，专门用于Safari浏览器、WebKit框架和系统库等组件。它通过小型持续补丁的形式提供安全修复，无需等待大型系统更新，类似于iOS 16中的快速安全响应功能。

Q2：CVE-2026-20643漏洞有什么危害？

A：这是WebKit导航API中的跨源漏洞，攻击者可以通过恶意制作的网页内容绕过同源策略。同源策略是网页安全的重要机制，一旦被绕过，可能导致敏感数据泄露或其他安全威胁。

Q3：如何确保设备自动获得后台安全改进？

A：用户需要在设置应用的隐私和安全菜单中保持"自动安装"选项开启。如果禁用此设置，用户将无法及时获得安全修复，需要等到下次大型软件更新才能获得这些改进。