Błędy, Poradniki, Aktualności

Firma Apple naprawiła błąd w WebKicie, który mógł umożliwić stronom internetowym dostęp do danych użytkowników

autor: Pieter Arntz | 18 marca 2026 r.
Apple

Firma Apple wydała aktualizację „Background Security Improvement”, która usuwa lukę umożliwiającą złośliwym stronom internetowym ominięcie zabezpieczeń przeglądarki i uzyskanie dostępu do danych z innych witryn.

Co to jest?

Złagodzona luka w zabezpieczeniach WebKit została opisana następująco:

„Problem związany z różnicą pochodzenia w interfejsie API nawigacji został rozwiązany dzięki ulepszonej walidacji danych wejściowych”.

Luki w zabezpieczeniach WebKit to błędy w silniku renderującym zawartość internetową firmy Apple, który obsługuje przeglądarkę Safari, aplikację Mail oraz sklep App Store w iOS macOS.

Oznacza to, że luka CVE-2026-20643 umożliwia złośliwej witrynie podszywanie się pod inną stronę – na przykład taką, której ufasz – a następnie odczytywanie lub kradzież informacji, które powinny pozostać poufne. Zazwyczaj przeglądarki stosują zasadę zwaną„polityką tego samego pochodzenia”, która działa jak solidne ogrodzenie uniemożliwiające jednej witrynie podglądanie danych innej witryny. Ten błąd może pomóc cyberprzestępcom w pokonaniu tego ogrodzenia.

W praktyce osoba atakująca musiałaby najpierw zwabić użytkownika na specjalnie spreparowaną stronę internetową. Gdybyś ją odwiedził, strona ta mogłaby próbować ominąć standardową izolację między witrynami i uzyskać dostęp do elementów, których nie powinna widzieć, takich jak dane z innej karty lub treści osadzone z innej usługi.

Wydaje się, że atakujący nie wykorzystują obecnie tej luki w praktyce, ale chętnie łączą tego typu problemy z innymi błędami, aby przejąć konta lub wykraść poufne dane, co prawdopodobnie skłoniło firmę Apple do wprowadzenia tej poprawki w ramach aktualizacji „Background Security Improvement”. Poprawka Apple'a zaostrza sposób, w jaki WebKit sprawdza i obsługuje nawigację między witrynami.

Co robić

Ta poprawka dotycząca luki w zabezpieczeniach WebKit, oznaczona numerem CVE-2026-20643, jest instalowana jako aktualizacja dla wersji 26.3.1/26.3.2, a nie jako oddzielna, pełna wersja systemu operacyjnego. Ulepszenia bezpieczeństwa działające w tle są dostępne wyłącznie w najnowszej gałęzi systemu operacyjnego (26.x) i są wdrażane automatycznie w tle, jeśli korzystasz z najnowszej wersji.

Użytkownicy system iOS iPadOS mogą sprawdzić, czy korzystają z najnowszej wersji oprogramowania, przechodząc dosekcji Ustawienia > Ogólne > Aktualizacja oprogramowania. Warto również włączyć opcję automatycznych aktualizacji, jeśli jeszcze tego nie zrobiliście. Można to zrobić na tym samym ekranie.

Użytkownicy systemu macOS Tahoe mogą sprawdzić, czy korzystają z najnowszej wersji 26.3, korzystając z menu Apple. W lewym górnym rogu ekranu wybierz opcję „O tym Mac”. Wyświetlone informacje zawierają nazwę systemu macOS oraz numer wersji. Jeśli chcesz sprawdzić również numer kompilacji, kliknij numer wersji, aby go wyświetlić.

Ta aktualizacja zabezpieczeń w tle jest dostępna wyłącznie dla Mac z systemem Tahoe 26.3.1 oraz użytkowników MacBook Neo z systemem 26.3.2.

Wystarczy, że użytkownicy sprawdzą, czy opcja „Ulepszenia bezpieczeństwa w tle” jestwłączona.

Użytkownicy iPhone'ów i iPadów znajdą to ustawienie w sekcji Privacy bezpieczeństwo”; wystarczy przewinąć stronę w dół i znaleźć przełącznik „Ulepszenia bezpieczeństwa w tle ”.

Automatycznie instaluj ulepszenia zabezpieczeń
Automatycznie instaluj ulepszenia zabezpieczeń

Na komputerze Mac tylko system macOS Tahoe 26.3.+) możesz to sprawdzić, postępując zgodnie z poniższą instrukcją:

  1. Kliknij menu Apple > Ustawienia systemowe.
  2. W pasku bocznym kliknij Privacy i bezpieczeństwo.
  3. Przewiń w dół po prawej stronie i kliknij opcję „Ulepszenia zabezpieczeń w tle”.
  4. Upewnij się, że opcja „Instaluj automatycznie” jest włączona. Jeśli jest wyłączona, komputer Mac otrzyma ulepszeń zabezpieczeń w tle, dopóki poprawki nie zostaną uwzględnione w kolejnej pełnej aktualizacji.

Opcja „Zainstaluj” widoczna na moim zrzucie ekranu oznacza, że możesz przyspieszyć ten proces, klikając ją. Można jednak spokojnie poczekać, aż nastąpi to automatycznie.

Po aktualizacji wersja systemu operacyjnego powinna wynosić 26.3.1 (a), z wyjątkiem komputerów MacBook Neo, w których powinna to być wersja 26.3.2 (a).

Nie tylko informujemy o bezpieczeństwie telefonów - my je zapewniamy

Zagrożenia cyberbezpieczeństwa nigdy nie powinny wykraczać poza nagłówek. Chroń swoje urządzenia mobilne przed zagrożeniami, pobierając Malwarebytes dla iOS i Malwarebytes dla Android już dziś.

O autorze

Pieter Arntz

Pieter Arntz

Badacz złośliwego oprogramowania

Przez 12 lat z rzędu był Microsoft MVP w dziedzinie bezpieczeństwa konsumentów. Mówi w czterech językach. Pachnie bogatym mahoniem i oprawionymi w skórę książkami.

NAJNOWSZE ARTYKUŁY

Oszustwa
Fałszywa strona Pudgy World

Fałszywa strona „Pudgy World” kradnie hasła do kryptowalut

Marzec 17, 2026

Ta strona phishingowa nie jest powiązana z firmą Igloo Inc ani z grą „Pudgy Penguins”, ale została stworzona po to, by zwabić fanów i wykraść ich hasła do kryptowalut.

Mobilny
Trojański koń na kołach włamuje się do ekranu smartfona.

Google podejmuje zdecydowane działania przeciwko Android nadużywającym funkcji ułatwień dostępu

Marzec 17, 2026

Złośliwe oprogramowanie od lat wykorzystuje funkcje ułatwień dostępu Android. Firma Google znacznie utrudniła mu to zadanie.

Ochrona prywatności
Zhakowane strony internetowe

Zhakowane strony internetowe rozsyłają program Vidar do Windows

Marzec 16, 2026

Na zhakowanych stronach opartych na WordPressie znaleźliśmy fałszywe strony z testem „potwierdź, że jesteś człowiekiem”, które nakłaniają Windows do zainstalowania programu Vidar służącego do kradzieży danych.

Ikona współtwórców

Współtwórcy

Ikona Centrum zagrożeń

Centrum ds. zagrożeń

Ikona podcastów

Podcast

Ikona słowniczka

Słowniczek

Ikona oszustwa

Oszustwa