Apple впервые задействовала новый механизм Background Security Improvements (BSI) для закрытия критической уязвимости в движке WebKit, не требуя от пользователей установки полноценного обновления операционной системы и перезагрузки устройства. Патч автоматически получили владельцы iPhone, iPad и Mac, работающих на актуальных версиях iOS, iPadOS и macOS.
Уязвимость WebKit: обход Same Origin Policy через Navigation API
Исправленный дефект отслеживается под идентификатором CVE-2026-20643 и связан с некорректной обработкой запросов в Navigation API движка WebKit. Суть проблемы заключалась в ошибке механизма cross-origin, которая при определённых условиях позволяла нарушить политику Same Origin Policy (SOP) при обработке специально подготовленного вредоносного веб-контента.
Политика Same Origin Policy — один из базовых столпов безопасности в браузерах: она блокирует доступ скриптов одного сайта к данным другого домена, тем самым предотвращая кражу сессионных токенов, персональных данных и чувствительной информации. Любой рабочий обход SOP на уровне движка браузера считается уязвимостью высокого риска.
Navigation API и сценарий эксплуатации
По данным Apple, уязвимость была обнаружена исследователем информационной безопасности Томасом Эспахом (Thomas Espach). Эксплуатация заключалась в том, что вредоносная страница могла спровоцировать некорректную навигацию между различными источниками (origins), что открывало возможность получить доступ к данным, которые по правилам SOP должны быть изолированы.
Для устранения проблемы разработчики Apple усилили валидацию входных данных в соответствующих компонентах WebKit. Подобный подход типичен для исправления логических ошибок в браузерных движках: чем жёстче проверяются параметры и контекст выполнения, тем сложнее злоумышленнику использовать пограничные или неочевидные сценарии поведения API.
Первое фоновое обновление безопасности BSI в iOS и macOS
Патч был доставлен в составе релизов iOS 26.3.1 (a), iPadOS 26.3.1 (a), macOS 26.3.1 (a) и macOS 26.3.2 (a). Отличительная особенность этого обновления в том, что оно распространялось через новый механизм Background Security Improvements, ориентированный на точечные и оперативные исправления безопасности между крупными релизами системы.
Apple описывает BSI как систему доставки небольших, но частых обновлений безопасности для критически важных компонентов: браузера Safari, стека WebKit и системных библиотек. Такой подход минимизирует окно уязвимости между моментом раскрытия бага и его фактическим устранением у конечного пользователя.
BSI и Rapid Security Response: эволюция подхода к патчам
Ранее пользователям приходилось устанавливать полноценное обновление ОС и перезагружать устройство даже ради небольших исправлений. Аналогичный по идеологии механизм Rapid Security Response появился ещё в iOS 16, однако BSI делает процесс ещё более «прозрачным» и ненавязчивым: патчи применяются в фоновом режиме, часто без заметного вмешательства пользователя.
Функция фоновых улучшений безопасности доступна, начиная с iOS 26.1, iPadOS 26.1 и macOS 26, и настраивается через раздел «Конфиденциальность и безопасность». По умолчанию включена автоматическая установка, и Apple рекомендует не отключать её, особенно на устройствах, обрабатывающих конфиденциальные данные или использующихся для работы.
Что будет, если отключить или удалить BSI-обновление
Даже при отключении автоматических фоновых обновлений пользователь не остаётся полностью без защиты: соответствующие патчи будут включены в следующее полноценное обновление ОС. Однако такой подход увеличивает период, в течение которого устройство остаётся уязвимым к уже исправленной проблеме — особенно актуально для эксплуатируемых в дикой природе уязвимостей браузера.
Отдельно Apple подчёркивает важный нюанс: если пользователь удалит уже установленное обновление BSI, устройство откатится к базовой версии системы (например, к iOS 26.3.1) без промежуточных патчей безопасности. На практике это означает, что все ранее установленные через BSI исправления перестанут действовать до тех пор, пока не будут повторно развернуты или включены в будущий крупный релиз.
Для корпоративных сред и администраторов MDM это создаёт дополнительный фактор риска: любое вмешательство в политику обновлений должно сопровождаться оценкой угроз. Выключение фоновых патчей может упростить поддержку и тестирование, но увеличивает вероятность успешной атаки через уязвимости браузера или системных библиотек.
Переход Apple к активному использованию Background Security Improvements отражает общую тенденцию рынка: в условиях постоянно растущего числа атак на браузеры и цепочки поставок программного обеспечения скорость доставки патчей становится не менее важна, чем их качество. Чтобы минимизировать риск компрометации, пользователям и организациям имеет смысл поддерживать включёнными автоматические обновления, уделять внимание уведомлениям о безопасности и отслеживать изменения в механизмах обновлений платформы. Регулярное применение мелких фоновых патчей зачастую эффективнее редких «крупных» апдейтов, особенно когда речь идёт о таких критичных компонентах, как WebKit и Safari.
