Компания Apple выпустила обновление «Background Security Improvement» для устранения уязвимости, которая могла позволить вредоносным веб-сайтам обойти защитные механизмы браузера и получить доступ к данным других сайтов.
Что это?
Устраненная уязвимость WebKit описывается следующим образом:
«Проблема междоменного взаимодействия в API навигации была устранена за счет улучшения проверки вводимых данных».
Уязвимости WebKit — это недостатки безопасности в движке рендеринга веб-страниц компании Apple, который используется в Safari, Mail и App Store на iOS macOS.
Это означает, что уязвимость CVE-2026-20643 позволяет вредоносному веб-сайту выдавать себя за другой сайт, возможно, тот, которому вы доверяете, а затем считывать или похищать информацию, которая должна храниться отдельно. Обычно браузеры применяют правило, называемое«политикой одного источника», которое действует как надежный барьер, не позволяющий одному сайту просматривать данные другого сайта. Эта уязвимость может помочь киберпреступникам обойти этот барьер.
На практике злоумышленнику сначала придётся заманить вас на специально подделанную веб-страницу. Если вы её посетите, эта страница может попытаться обойти стандартную изоляцию между сайтами и получить доступ к данным, которые ей недоступны, например к данным из другой вкладки или к встроенному контенту из другого сервиса.
Пока что злоумышленники, судя по всему, не используют эту уязвимость в реальных условиях, однако они часто комбинируют подобные проблемы с другими уязвимостями для кражи учетных записей или конфиденциальных данных, что, вероятно, и побудило Apple выпустить это обновление в рамках программы «Улучшение безопасности в фоновом режиме». Исправление от Apple ужесточает механизмы проверки и обработки межсайтовой навигации в WebKit.
Что делать
Этот патч, устраняющий уязвимость WebKit ( CVE-2026-20643), устанавливается поверх версий 26.3.1/26.3.2, а не в качестве отдельной полной версии ОС. Фоновые улучшения безопасности доступны только в последней ветке ОС (26.x) и применяются автоматически в фоновом режиме, если у вас установлена последняя версия.
Пользователи iOS iPadOS могут проверить, установлена ли у них последняя версия ПО, перейдя вменю «Настройки» > «Основные» > «Обновление ПО». Также рекомендуется включить функцию «Автоматические обновления», если вы этого ещё не сделали. Сделать это можно на том же экране.
Пользователи macOS Tahoe могут проверить, установлена ли у них последняя версия 26.3, через меню «Apple». В левом верхнем углу экрана выберите пункт «Об этом Mac». Там отображается название macOS и номер версии. Если вам также нужен номер сборки, щелкните номер версии, чтобы его увидеть.
Данное фоновое обновление безопасности доступно только Mac с версией Tahoe 26.3.1 и пользователям MacBook Neo с версией 26.3.2.
Пользователям нужно лишь проверить,включена ли у них опция «Улучшения безопасности в фоновом режиме».
Пользователи iPhone и iPad могут найти этот параметр в разделе Privacy безопасность», где нужно прокрутить страницу вниз и найти переключатель «Улучшения безопасности в фоновом режиме ».
На компьютере Mac только для macOS Tahoe 26.3.+) вы можете проверить это, следуя приведенным ниже инструкциям:
- Нажмите меню «Яблоко» > «Настройки системы».
- В боковой панели нажмите Privacy и безопасность.
- Прокрутите страницу вниз в правой части экрана и нажмите «Улучшения безопасности в фоновом режиме».
- Убедитесь, что функция «Автоматическая установка» включена. Если она отключена, на Mac установлены фоновые обновления безопасности до тех пор, пока исправления не будут включены в последующее полное обновление.
Пункт «Установить» на моем скриншоте означает, что вы можете ускорить процесс, нажав на него. Но можно и просто подождать, пока это произойдет автоматически.
После обновления версия вашей ОС должна отображаться как 26.3.1 (a), за исключением MacBook Neo, у которых она должна быть 26.3.2 (a).
Мы не просто сообщаем о безопасности телефонов - мы ее обеспечиваем
Риски кибербезопасности не должны выходить за рамки заголовка. Загрузите Malwarebytes для iOS и Malwarebytes для Android, чтобы предотвратить угрозы на своих мобильных устройствах.
