Apple heeft een beveiligingsprobleem in WebKit aangepakt dat het mogelijk maakte om de same-origin policy te omzeilen op iOS, iPadOS en macOS. De kwetsbaarheid, geregistreerd als CVE-2026-20643, betreft een cross-origin issue in de Navigation API van WebKit die misbruikt kan worden via kwaadaardig opgemaakte webinhoud.

De fout trof versies iOS 26.3.1, iPadOS 26.3.1, macOS 26.3.1 en macOS 26.3.2 en is verholpen met verbeterde inputvalidatie in de updates iOS 26.3.1 (a), iPadOS 26.3.1 (a), macOS 26.3.1 (a) en macOS 26.3.2 (a). Onderzoeker Thomas Espach wordt erkend voor het ontdekken en melden van deze kwetsbaarheid. Apple benadrukt dat de zogenaamde Background Security Improvements bedoeld zijn om lichte beveiligingsupdates voor onder andere Safari, de WebKit-frameworkstack en andere systeembibliotheken via kleinere, doorlopende patches uit te rollen, in plaats van via grote software-updates.

Deze functie is beschikbaar vanaf iOS 26.1, iPadOS 26.1 en macOS 26 en kan via het Privacy- en beveiligingsmenu in de instellingen worden beheerd. Apple adviseert om automatische installatie ingeschakeld te houden zodat updates direct worden toegepast. Indien uitgeschakeld, moeten gebruikers wachten op de volgende reguliere software-update. De aanpak lijkt op de Rapid Security Response die Apple sinds iOS 16 gebruikt voor het snel uitrollen van kleine beveiligingspatches. Indien een Background Security Improvement wordt verwijderd, keert het apparaat terug naar de basisversie zonder deze verbeteringen.

Deze update volgt ruim een maand na een eerdere patch voor een actief misbruikte zero-day kwetsbaarheid (CVE-2026-20700) die code-uitvoering mogelijk maakte op meerdere Apple-platformen. Vorige week breidde Apple ook de patches uit voor vier beveiligingslekken die werden ingezet via het Coruna exploit kit.