Appleは、iPhoneユーザー、iPadユーザー、およびMacユーザーを高度なウェブベースの攻撃にさらす重大なWebKit脆弱性に対処するための緊急セキュリティアップデートをリリースしました。
CVE-2026-20643として追跡されているこの欠陥により、悪質なウェブコンテンツがコアブラウザセキュリティ保護をバイパスでき、機密ユーザーデータが危険にさらされる可能性があります。
従来のパッチとは異なり、Appleはバックグラウンドセキュリティ改善メカニズムを通じて、2026年3月17日に修正プログラムを配信しました。
このシステムにより、Appleはユーザーが完全なオペレーティングシステムアップグレードをインストールする必要なく、対象となるセキュリティアップデートをサイレントにプッシュできます。
この問題は、Appleの WebKitエンジン内のNavigation APIに由来しており、Safari およびiOS、iPadOS、macOS全体の他のウェブベースアプリケーションを駆動しています。
この脆弱性はセキュリティ研究者Thomas Espachによって発見および報告され、WebKit Bugzilla ID 306050でも追跡されています。
この欠陥により、攻撃者は特別に細工されたウェブコンテンツを処理する際に、不適切に検証された入力を悪用できます。
そうすることで、脅威行為者は基本的なブラウザセキュリティ制御である同一生成元ポリシー (SOP)をバイパスできます。
同一生成元ポリシーは、異なるドメインからのウェブページが互いのデータにアクセスできないことを保証しています。
たとえば、悪質なウェブサイトは、別のアクティブセッション(オンラインバンキングやメールなど)と静かに相互作用し、ユーザーの認識なしに機密データを抽出する可能性があります。
このパッチは、以下のような重要なコンポーネント内の高リスク脆弱性に迅速に対処するために導入されたAppleのバックグラウンドセキュリティ改善システムの一部です:
このアプローチにより、Appleはアクティブな脅威に迅速に対応しながら、ユーザーへの悪影響を最小限に抑えることができます。
パッチが予期しない問題を引き起こした場合、Appleはそれを自動的に削除し、デバイスを永続的な影響を与えることなく以前の安定した状態に戻すことができます。
ユーザーと管理者は、バックグラウンドセキュリティ改善が有効になっていることを確認する必要があります。これは以下に移動することで確認できます:
設定 → プライバシーとセキュリティ → バックグラウンドセキュリティ改善
タイムリーな保護を受けるには、「自動インストール」オプションがオンのままである必要があります。
この機能が無効になっている場合、デバイスは将来のOSアップデートに含まれるまで重大なセキュリティパッチを受け取らず、既知の脅威への露出が増加します。
CVE-2026-20643は、ブラウザベースの攻撃の増加する複雑性と、迅速なパッチ展開の重要性を強調しています。
Appleのバックグラウンド更新メカニズムは、継続的なセキュリティ配信への転換を表しており、通常のデバイス使用を中断することなく、新興の脅威からユーザーを保護するのに役立ちます。
翻訳元: https://cyberpress.org/apple-webkit-vulnerability/