Apple устранила уязвимость WebKit фоновым обновлением безопасности
3 мин
29
Компания Apple выпустила первый пакет фоновых обновлений безопасности для устранения уязвимости в движке WebKit. Баг присутствует в версиях iOS 26.3.1, iPadOS 26.3.1, macOS 26.3.1 и macOS 26.3.2. Apple решила ранее выявленные проблемы путём улучшенной проверки входных данных в обновлениях с индексом (a).
Уязвимость, затрагивающая iOS, iPadOS и macOS, получила идентификатор CVE-2026-20643. Она связана с межсайтовой проблемой в Navigation API движка WebKit. Злоумышленники могут использовать её для обхода политики одного источника при обработке вредоносного веб-контента. Это означает, что вредоносный сайт может получить доступ к данным с других сайтов. Однако по правилам браузера этого делать нельзя.
Фоновые обновления безопасности — это способ доставлять небольшие патчи для Safari, WebKit и системных библиотек отдельно от крупных обновлений системы. Функция работает в iOS 26.1, iPadOS 26.1, macOS 26 и более свежих версиях. В Apple отметили, что если после установки патча появятся какие-то проблемы совместимости, компания может временно отозвать обновление и доработать его.
Пользователь может самостоятельно управлять фоновыми обновлениями в разделе «Конфиденциальность и безопасность» в настройках. Для автоматической установки патчей требуется оставить включённой эту опцию. В случае её отключения исправления будут приходить только в составе основных обновлений системы. При удалении установленного фонового обновления устройство откатится к базовой версии системы без применённых патчей.
В феврале 2026 года компания выпустила исправления для активно эксплуатируемой уязвимости нулевого дня CVE-2026-20700. Проблема затрагивала iOS, iPadOS, macOS Tahoe, tvOS, watchOS и visionOS. Через неё можно было выполнить произвольный код. Оценка по шкале CVSS — 7,8 балла. Также в середине марта 2026 года Apple расширила список патчей для четырёх уязвимостей CVE-2023-43010, CVE-2023-43000, CVE-2023-41974 и CVE-2024-23222. Они использовались в составе эксплойт-кита Coruna.
Фоновые обновления безопасности — это способ доставлять небольшие патчи для Safari, WebKit и системных библиотек отдельно от крупных обновлений системы. Функция работает в iOS 26.1, iPadOS 26.1, macOS 26 и более свежих версиях. В Apple отметили, что если после установки патча появятся какие-то проблемы совместимости, компания может временно отозвать обновление и доработать его.
Пользователь может самостоятельно управлять фоновыми обновлениями в разделе «Конфиденциальность и безопасность» в настройках. Для автоматической установки патчей требуется оставить включённой эту опцию. В случае её отключения исправления будут приходить только в составе основных обновлений системы. При удалении установленного фонового обновления устройство откатится к базовой версии системы без применённых патчей.
В феврале 2026 года компания выпустила исправления для активно эксплуатируемой уязвимости нулевого дня CVE-2026-20700. Проблема затрагивала iOS, iPadOS, macOS Tahoe, tvOS, watchOS и visionOS. Через неё можно было выполнить произвольный код. Оценка по шкале CVSS — 7,8 балла. Также в середине марта 2026 года Apple расширила список патчей для четырёх уязвимостей CVE-2023-43010, CVE-2023-43000, CVE-2023-41974 и CVE-2024-23222. Они использовались в составе эксплойт-кита Coruna.
