Appleは、iPhone、iPad、およびMacユーザーを洗練されたコンテンツベースのバイパス攻撃にさらしている重大なWebKit脆弱性に対処するための緊急セキュリティアップデートをリリースしました。重大なWebKit脆弱性に対処するための緊急セキュリティアップデートをリリースしました。
2026年3月17日にバックグラウンドセキュリティ改善メカニズムを通じてシームレスに提供されたこのターゲット型パッチは、完全なオペレーティングシステムアップグレードを必要とせずにAppleデバイスを潜在的なSame Origin Policy違反から保護します。
脆弱性の仕様
Appleが新たに特定したセキュリティ欠陥は、AppleのWebKitブラウザエンジンのNavigation APIに深く存在しています。
CVE-2026-20643およびWebKit Bugzilla 306050の識別子で正式に追跡されている、この重大な脆弱性はセキュリティ研究者のThomas Espachによって発見・報告されました。
この欠陥は、iOS 26.3.1、iPadOS 26.3.1、macOS 26.3.1、およびmacOS 26.3.2を実行しているデバイスに特に影響を及ぼします。
Appleは、入力検証プロトコルの改善を実装して悪意のあるウェブペイロードを無効化することにより、影響を受けたすべてのプラットフォーム全体でこの脆弱性を解決しました。
このクロスオリジンの問題は、脆弱なブラウザエンジンが悪意のある細工されたウェブコンテンツを処理するときにトリガーされます。
この欠陥を悪用することで、脅威アクターはSame Origin Policyを完全に回避できます。Same Origin Policyは、最新のウェブブラウザが異なるウェブサイト同士を分離するために使用する基本的なセキュリティメカニズムです。
この分離が失敗すると、ブラウザは不正なクロスサイトアクセスに対して機密ユーザーデータ、認証トークン、およびセッション詳細を安全に保つ能力を失います。
このような特定のパッチは、Appleのバックグラウンドセキュリティ改善の主要な展開を示しており、これは軽量セキュリティパッチを効率的に配布するために設計された専門的な配信システムです。
これらの迅速なアップデートは、Safariブラウザ、基盤となるWebKitフレームワークスタック、および継続的なメンテナンスを必要とする他の重要なシステムライブラリなど、頻繁に公開される内部コンポーネントを対象としています。
バックグラウンド機能は、iOS 26.1、iPadOS 26.1、macOS 26.1、およびそれ以降のバージョンを実行しているすべてのデバイスに対して完全にサポートされ、デフォルトで有効になっています。
緊急セキュリティ修正をより大きなソフトウェアアップデートから分離することにより、Appleは継続的にセキュリティ保護をシームレスで無意識の方法で提供しています。
配信システムには、パッチが予期しないシステム互換性の問題を引き起こす稀なインスタンスの安全フォールバックが含まれており、セキュリティ改善を一時的に削除することができます。
問題のあるパッチを削除すると、バックグラウンド修正を保持せずに、デバイスをiOS 26.3などの安定したベースラインソフトウェアアップデートに即座に戻します。
軽減策とデバイス管理
デバイス管理者およびエンドユーザーは、システム設定内にあるプライバシー&セキュリティメニューに移動することで、これらのバックグラウンドアップデートを管理できます。
バックグラウンドセキュリティ改善メニュー内で、ユーザーは「自動インストール」機能が有効に保たれていることを確認して、新たな脅威に対する継続的な保護を確保する必要があります。
個人がこの設定を無効化することを選択した場合、デバイスはその後の標準ソフトウェアアップデートにバンドルされるまで、これらの重要なパッチを受け取りません。
翻訳元: https://gbhackers.com/apple-webkit-security-flaw/
