苹果公司周二发布了首轮后台安全改进,修复了影响iOS、iPadOS和macOS的WebKit安全漏洞。
该漏洞编号为CVE-2026-20643,被描述为WebKit导航API中的跨源问题。攻击者可以利用恶意制作的网页内容绕过同源策略。
受影响的系统版本
该漏洞影响iOS 26.3.1、iPadOS 26.3.1、macOS 26.3.1和macOS 26.3.2版本。苹果已通过改进输入验证的方式,在iOS 26.3.1 (a)、iPadOS 26.3.1 (a)、macOS 26.3.1 (a)和macOS 26.3.2 (a)版本中修复了这一问题。安全研究员Thomas Espach发现并报告了这一漏洞。
后台安全改进功能
苹果表示,后台安全改进旨在为Safari浏览器、WebKit框架栈和其他系统库等组件提供轻量级安全发布。这种机制通过小型持续安全补丁的形式提供修复,而不是作为大型软件更新的一部分发布。
该功能在iOS 26.1、iPadOS 26.1和macOS 26及之后版本中受到支持并默认启用。如果发现兼容性问题,改进可能会被临时移除,然后在后续软件更新中进行增强。
用户可以通过设置应用中的隐私和安全菜单控制后台安全改进。为确保自动安装,建议保持"自动安装"选项开启。值得注意的是,如果用户选择禁用此设置,他们将不得不等到下一次软件更新才能获得这些改进。从这个角度来看,该功能类似于苹果在iOS 16中引入的快速安全响应功能。
苹果在帮助文档中指出:"如果已应用后台安全改进,而您选择将其移除,您的设备将回退到基准软件更新版本,不会应用任何后台安全改进。"
近期安全动态
这一更新距离苹果修复一个被积极利用的零日漏洞仅过去一个多月。该漏洞影响iOS、iPadOS、macOS Tahoe、tvOS、watchOS和visionOS系统,可能导致任意代码执行。
上周,苹果还扩展了对四个安全漏洞的补丁修复,这些漏洞曾被Coruna漏洞利用工具包武器化利用。
Q&A
Q1:什么是后台安全改进功能?
A:后台安全改进是苹果推出的一种轻量级安全更新机制,专门用于Safari浏览器、WebKit框架和系统库等组件。它通过小型持续补丁的形式提供安全修复,无需等待大型系统更新,类似于iOS 16中的快速安全响应功能。
Q2:CVE-2026-20643漏洞有什么危害?
A:这是WebKit导航API中的跨源漏洞,攻击者可以通过恶意制作的网页内容绕过同源策略。同源策略是网页安全的重要机制,一旦被绕过,可能导致敏感数据泄露或其他安全威胁。
Q3:如何确保设备自动获得后台安全改进?
A:用户需要在设置应用的隐私和安全菜单中保持"自动安装"选项开启。如果禁用此设置,用户将无法及时获得安全修复,需要等到下次大型软件更新才能获得这些改进。
好文章,需要你的鼓励
市场研究公司Klue本月初遭黑客入侵,大量客户数据被窃。Klue表示正与黑客组织Icarus沟通,并相信对方正在删除所盗数据。受影响客户包括Gong、LastPass、HackerOne等多家知名企业。然而事态趋于复杂——另一黑客团伙声称从Icarus处获取了Klue客户数据,并向客户发出勒索威胁。Klue提醒客户勿向第二方支付赎金,并建议索取数据样本以核实其真实性。
KAIST等机构提出3D HAMSTER,通过为视觉语言模型加入深度编码器和几何重建损失,让机器人规划器直接输出三维轨迹,解决了分层机器人系统中规划与执行的维度不匹配问题,显著提升了操作鲁棒性。
苹果公司对OpenAI提起诉讼,指控其窃取商业机密。据披露,前苹果系统电气工程师刘畅(Chang Liu)在离职加入OpenAI后,利用一个此前未知的身份验证零日漏洞,持续数周从苹果内部网络存储中下载大量机密文件,内容涵盖未发布产品信息、工程演示文稿及技术规格等。苹果已修复该漏洞并终止相关访问权限。此案已提交加州北区联邦法院,并要求陪审团审判。
南京大学提出Light-Omni框架,通过全局状态与潜在状态双机制,让AI视频助理无需反复推理即可实现精准记忆检索,速度提升逾12倍,准确率同步提高。