Apple heeft dinsdag zijn eerste reeks achtergrondbeveiligingsverbeteringen uitgebracht om een beveiligingsprobleem in WebKit aan te pakken dat gevolgen heeft voor iOS, iPadOS en macOS.
Het beveiligingslek, bijgehouden als CVE-2026-20643 (CVSS-score: N/A), is beschreven als een cross-origin-probleem in de navigatie-API van WebKit dat kan worden misbruikt om het same-origin-beleid te omzeilen bij het verwerken van kwaadwillig vervaardigde webinhoud.
De fout treft iOS 26.3.1, iPadOS 26.3.1, macOS 26.3.1 en macOS 26.3.2. Het probleem is verholpen door verbeterde invoervalidatie in iOS 26.3.1 (a), iPadOS 26.3.1 (a), macOS 26.3.1 (a) en macOS 26.3.2 (a). Beveiligingsonderzoeker Thomas Espach wordt gecrediteerd voor het ontdekken en rapporteren van de tekortkoming.
Apple merkt op dat Achtergrondbeveiligingsverbeteringen bedoeld zijn voor het leveren van lichtgewicht beveiligingsreleases voor componenten zoals de Safari-browser, WebKit-frameworkstack en andere systeembibliotheken via kleinere, doorlopende beveiligingspatches, in plaats van deze uit te geven als onderdeel van grotere software-updates.
De functie wordt ondersteund en ingeschakeld voor toekomstige releases vanaf iOS 26.1, iPadOS 26.1 en macOS 26. In gevallen waarin compatibiliteitsproblemen worden ontdekt, kunnen de verbeteringen tijdelijk worden verwijderd en vervolgens worden verbeterd in een volgende software-update, voegt Apple eraan toe.
Gebruikers kunnen verbeteringen op de achtergrondbeveiliging beheren via het menu Privacy en beveiliging in de app Instellingen. Om er zeker van te zijn dat ze automatisch worden geïnstalleerd, is het raadzaam de optie “Automatisch installeren” ingeschakeld te laten.
Het is vermeldenswaard dat als gebruikers ervoor kiezen deze instelling uit te schakelen, ze zullen moeten wachten tot de verbeteringen zijn opgenomen in de volgende software-update. In dat licht bezien is de functie analoog aan Rapid Security Response, dat in iOS 16 werd geïntroduceerd als een manier om kleine beveiligingsupdates te installeren.
“Als er een beveiligingsverbetering op de achtergrond is toegepast en u ervoor kiest deze te verwijderen, keert uw apparaat terug naar de basissoftware-update (bijvoorbeeld iOS 26.3) zonder dat er verbeteringen op de achtergrond zijn toegepast”, aldus Apple in een helpdocument.
De ontwikkeling komt iets meer dan een maand nadat Apple oplossingen heeft uitgebracht voor een actief geëxploiteerde zero-day met gevolgen voor iOS, iPadOS, macOS Tahoe, tvOS, watchOS en visionOS (CVE-2026-20700, CVSS-score: 7,8) die zouden kunnen resulteren in het uitvoeren van willekeurige code.
Vorige week breidde de iPhone-maker ook patches uit voor vier beveiligingsfouten (CVE-2023-43010, CVE-2023-43000, CVE-2023-41974 en CVE-2024-23222) die waren bewapend als onderdeel van de Coruna-exploitkit.
