Apple вперше задіяла новий механізм Background Security Improvements (BSI), щоб закрити критичну вразливість у рушії WebKit, не змушуючи користувачів встановлювати повноцінне оновлення iOS, iPadOS чи macOS і перезавантажувати пристрій. Оновлення автоматично отримали власники актуальних версій систем, а сама подія демонструє зміну підходу Apple до швидкості доставки патчів безпеки.
Критична вразливість WebKit: обхід Same Origin Policy через Navigation API
Виправлена вразливість відстежується як CVE-2026-20643 і пов’язана з некоректною обробкою запитів у Navigation API рушія WebKit. Помилка у механізмах cross-origin створювала умови, за яких спеціально підготовлений шкідливий веб-контент міг обійти політику Same Origin Policy (SOP).
Same Origin Policy — це базове правило безпеки браузерів, яке забороняє скриптам однієї веб‑сторінки отримувати доступ до даних іншого домену. SOP запобігає крадіжці cookies, сесійних токенів, персональних даних та іншої чутливої інформації. Будь-який надійний обхід SOP на рівні рушія браузера належить до вразливостей високого ризику, оскільки дає зловмиснику можливість виконувати міжсайтові атаки практично прозоро для користувача.
Navigation API WebKit: де виник вектор атаки
За даними Apple, вразливість виявив дослідник інформаційної безпеки Томас Еспах (Thomas Espach). Сценарій експлуатації полягав у тому, що шкідлива сторінка могла спровокувати неправильну навігацію між різними origins, що відкривало доступ до даних, які за правилами SOP мають бути ізольовані.
Щоб усунути дефект, розробники Apple посилили валідацію вхідних даних у відповідних компонентах WebKit. Для браузерних рушіїв це типовий спосіб закриття логічних помилок: чим суворіше перевіряються параметри, контекст виконання та дозволені переходи, тим менше шансів використати «прикордонні» або нетипові сценарії виклику API.
Чому атаки на Same Origin Policy залишаються критичними
За публічними звітами дослідницьких груп, зокрема Google Project Zero, браузерні 0‑day уразливості регулярно входять до переліку найнебезпечніших векторів атак. Порушення SOP фактично дає нападнику можливість «змішати» контент різних сайтів: наприклад, відкрити шкідливу сторінку, а потім непомітно отримати доступ до даних з вкладки інтернет‑банкінгу чи корпоративного порталу.
Для організацій це означає пряму загрозу витоку облікових даних, сесій для хмарних сервісів, внутрішніх дашбордів або систем управління. Тому оперативне закриття таких вразливостей — критичний елемент стратегії кіберзахисту як для виробників браузерів, так і для кінцевих користувачів.
Background Security Improvements: фонові патчі без перезавантаження
Патч для CVE-2026-20643 був доставлений у рамках релізів iOS 26.3.1 (a), iPadOS 26.3.1 (a), macOS 26.3.1 (a) та macOS 26.3.2 (a) через новий канал Background Security Improvements. Цей механізм орієнтований на точкові, але швидкі оновлення безпеки між великими версіями операційних систем.
Apple позиціонує BSI як систему доставки невеликих, але частих виправлень для критично важливих компонентів: браузера Safari, рушія WebKit та системних бібліотек. Таким чином скорочується вікно вразливості між моментом публічного розкриття або виявлення помилки та фактичним її закриттям на пристрої користувача.
BSI проти Rapid Security Response: наступний крок еволюції оновлень Apple
Механізм Rapid Security Response (RSR), який з’явився ще в iOS 16, вже дозволяв поширювати термінові патчі без повноцінного оновлення системи. Однак Background Security Improvements робить процес ще більш прозорим і менш нав’язливим: оновлення встановлюються у фоні, часто без помітного для користувача втручання, а перезавантаження в багатьох випадках не потрібне.
Функція BSI доступна, починаючи з iOS 26.1, iPadOS 26.1 та macOS 26, і керується у розділі «Конфіденційність і безпека». За замовчуванням увімкнено автоматичне встановлення, і виробник прямо рекомендує не вимикати цей режим, особливо на пристроях, що обробляють конфіденційні дані або використовуються для роботи.
Ризики вимкнення або видалення оновлень BSI
Якщо користувач відключає автоматичні фонові оновлення, він не залишається повністю без захисту: відповідні патчі будуть включені у наступне повноцінне оновлення ОС. Однак саме цей період очікування створює додаткове «вікно можливостей» для атак, що особливо небезпечно у випадку активно експлуатованих браузерних уразливостей.
Apple окремо наголошує: якщо користувач видаляє вже встановлене оновлення BSI, система повертається до базової збірки (наприклад, iOS 26.3.1) без проміжних виправлень безпеки. Фактично це означає втрату всіх раніше застосованих BSI‑патчів до моменту, коли вони будуть повторно розгорнуті або інтегровані у майбутній великий реліз.
Для корпоративних середовищ та адміністраторів MDM це створює додатковий фактор ризику: будь-яка зміна політики оновлень повинна супроводжуватися формальною оцінкою загроз. Вимкнення фонового патчінгу може спростити тестування сумісності, але різко підвищує ймовірність успішної атаки через вразливості WebKit, Safari або критичних системних бібліотек.
Активне використання Apple механізму Background Security Improvements відображає ширшу тенденцію індустрії: в умовах зростання атак на браузери та ланцюги постачання ПЗ швидкість доставки патчів стає такою ж важливою, як і їх якість. Користувачам та організаціям доцільно підтримувати автоматичні фонові оновлення ввімкненими, регулярно переглядати налаштування безпеки та відслідковувати зміни у механізмах оновлень платформи. Своєчасне застосування невеликих, але частих патчів часто ефективніше за рідкісні «великі» оновлення, особливо коли йдеться про такі критичні компоненти, як WebKit та Safari.
