В Apple впервые воспользовались механизмом фоновых улучшений безопасности (Background Security Improvements, BSI) для устранения уязвимости в WebKit. Патч был развернут для пользователей iPhone, iPad и Mac без полноценного обновления ОС.
Исправленная уязвимость получила идентификатор CVE-2026-20643 и была связана с проблемой cross-origin в Navigation API движка WebKit. Эксплуатация этого бага позволяла обойти Same Origin Policy при обработке вредоносного веб-контента. Проблему обнаружил ИБ-исследователь Томас Эспах (Thomas Espach), и разработчики Apple устранили ее с помощью, улучшив валидацию входных данных.
Обновление вошло в состав iOS 26.3.1 (a), iPadOS 26.3.1 (a), macOS 26.3.1 (a) и macOS 26.3.2 (a), и это первый случай, когда Apple распространила патч через новую систему Background Security Improvements — механизм, предназначенный для доставки небольших внеплановых исправлений между крупными релизами.
«Фоновые улучшения безопасности предоставляют небольшие обновления безопасности для разных компонентов системы, например браузера Safari, стека платформы WebKit и других системных библиотек, для которых важно получать регулярные небольшие обновления между более крупными версиями программного обеспечения.
В редких случаях возникновения проблем с совместимостью фоновые улучшения безопасности могут быть временно удалены, а затем усовершенствованы в одном из следующих выпусков обновления программного обеспечения», — поясняют в Apple.
Раньше для любого исправления пользователям приходилось устанавливать новую версию ОС и перезагружать устройство. BSI позволяют развертывать мелкие патчи на отдельные компоненты в фоновом режиме. По сути, механизм аналогичен Rapid Security Response, который появился еще в iOS 16, но теперь патчи распространяются более незаметно для пользователя.
Функция доступна начиная с iOS 26.1, iPadOS 26.1 и macOS 26 и управляется через раздел «Конфиденциальность и безопасность» в настройках устройства. В Apple рекомендуют оставлять автоматическую установку обновлений включенной, но если пользователь отключит эту опцию, он все равно получит исправления в составе следующего полноценного обновления ОС.
При этом в компании предупреждают: если удалить уже установленное обновление BSI, устройство откатится к базовой версии ОС (например, iOS 26.3.1) без каких-либо промежуточных патчей. Фактически это лишит девайс всех исправлений безопасности до тех пор, пока они не будут переустановлены или включены в будущее полноценное обновление.
