苹果这次动作挺快。3月18日直接甩出Background Security Improvements补丁,直指WebKit里一个能绕过同源策略的漏洞,CVE-2026-20643。问题出在Navigation API处理恶意网页内容时,攻击者可以突破浏览器安全边界,读取或操作本该隔离的跨域数据。
受影响的版本很明确:iOS 26.3.1、iPadOS 26.3.1、macOS 26.3.1以及macOS 26.3.2。全线中招。苹果的修复方案也简单粗暴——加强输入验证。补丁已经推送到对应系统的(a)版本里,用户只要开了自动安装Background Security Improvements,就能立刻吃到这个修复。
这个Background Security Improvements其实是苹果从iOS 26.1、iPadOS 26.1、macOS 26开始正式启用的新机制。目的就是把Safari、WebKit这类组件的轻量级安全补丁单独拎出来发,不用等大版本更新。比起以前的Rapid Security Response,玩法更灵活,也更碎片化。用户在设置里的隐私与安全性菜单就能开关这个功能。默认是开着的,建议别关。关了的话,安全补丁就得等到下一次完整系统升级才能装上。
安全研究员Thomas Espach报的这个洞。苹果没给CVSS打分,但从描述看,属于典型的高危跨域绕过类型。实际攻击场景里,攻击者只要诱导用户访问恶意网页,就能悄无声息窃取敏感信息,或者伪造请求干坏事。尤其Safari作为iOS默认浏览器,用的人太多,影响面直接拉满。
上个月苹果刚修了个正在被野外利用的零日CVE-2026-20700,能导致任意代码执行,波及iOS、iPadOS、macOS Tahoe、tvOS、watchOS、visionOS全家桶。修完没多久,又爆出Coruna利用链,用了四个老漏洞CVE-2023-43010、CVE-2023-43000、CVE-2023-41974、CVE-2024-23222针对iOS 13到17.2.1下手。苹果这次补WebKit,节奏明显在追赶。
WebKit作为Safari核心引擎,漏洞频发早不是新闻。过去几年,苹果靠WebKit零日被Pwn2Own、黑客大会反复点名。用户端看,iPhone和Mac占全球高端市场大头,一旦同源策略被破,钓鱼、数据泄露、会话劫持风险立马上来。
当前加密市场还在低位震荡,BTC现报$73,937(24h -0.56%),ETH现报$2,321(24h -0.44%)。币圈资金面偏紧,大家更关注链上数据和宏观政策,安全新闻反而容易被忽略。可恰恰是这种时候,黑产最爱钻空子。iOS用户尤其是持有大额资产的,手机就是钱包,浏览器一破防,后果不堪设想。
苹果这次用Background Security Improvements发补丁,说明他们想把安全响应速度提到新高度。以前等OTA大包,用户可能拖半个月。现在小补丁后台静默安装,几分钟搞定。前提是你没手动关掉自动更新。现实里不少人嫌麻烦直接关了“自动安装”,等于把门敞开给攻击者。
漏洞细节苹果没公开PoC,估计是怕刺激野外利用。但从Navigation API入手这个点,能猜到大概率跟页面导航、重定向、history操作有关。攻击者很可能构造特定URL参数或者iframe嵌套,骗过WebKit的跨域检查。修复靠输入验证收紧,侧面印证了问题出在边界处理上。
对普通用户来说,建议现在就去设置检查。路径:设置 → 通用 → 软件更新,或者直接搜“Background Security Improvements”。确认开了自动安装。开了以后,系统会在后台悄悄吃补丁,不会弹窗打扰。万一以后发现兼容性问题,苹果会撤回再优化,用户手动移除也能回滚到基线版本iOS 26.3。
安全这东西,从来不等人。苹果修得快是好事,可用户不跟上节奏,等于白修。尤其现在零日漏洞层出不穷,WebKit这个补完,下一个又在排队。手机安全从来不是厂商单方面的事,用户点一下“自动安装”,才是真闭环。
币圈老炮们最懂,资产上链前先把设备守牢。别等钱没了,才后悔没及时更新系统。