详细内容或原文请订阅后点击阅览
Apple 修复了可能让网站访问您数据的 WebKit 错误
Apple 发布了后台安全改进,以静默方式修复了 WebKit 漏洞 (CVE-2026-20643)。
来源:Malwarebytes Labs 博客Apple 发布了后台安全改进,以修复可能允许恶意网站绕过浏览器保护并访问其他网站数据的缺陷。
这是什么?
已修复的WebKit漏洞描述为:
“导航 API 中的跨源问题已通过改进输入验证得到解决。”
WebKit 漏洞是指 Apple Web 渲染引擎中的安全缺陷,该引擎为 iOS 和 macOS 上的 Safari、Mail 以及 App Store 提供支持。
这意味着 CVE-2026-20643 漏洞使恶意网站可以冒充另一个网站(也许是您信任的网站),然后读取或窃取应单独保存的信息。通常,浏览器会强制执行一项称为“同源策略”的规则,它就像一道严格的栅栏,阻止一个站点窥视另一个站点的数据。这个漏洞可以帮助网络犯罪分子突破这道栅栏。
实际上,攻击者首先必须引诱您访问特制的网页。如果您访问了它,该页面可能会尝试绕过站点之间的正常隔离并访问它不应该看到的内容,例如来自另一个选项卡的数据或来自不同服务的嵌入内容。
攻击者目前似乎并未在野外利用此缺陷,但他们喜欢将此类问题与其他错误联系起来以窃取帐户或敏感数据,这可能促使苹果将其作为后台安全改进来提供。 Apple 的修复加强了 WebKit 检查和处理跨站点导航的方式。
做什么
此针对 WebKit 漏洞的修补程序(跟踪为 CVE-2026-20643)安装在版本 26.3.1/26.3.2 之上,而不是作为单独的完整操作系统版本。后台安全改进仅适用于最新的操作系统分支 (26.x),并且如果您使用的是最新版本,则会在后台静默应用。
此后台安全改进仅适用于运行 Tahoe 26.3.1 的 Mac 用户和运行 26.3.2 的 MacBook Neo 用户。