问题—— 苹果公司近日面向iOS、iPadOS与macOS平台推出首轮后台安全改进补丁,修复WebKit框架中的一项安全漏洞CVE-2026-20643;该漏洞被界定为WebKit导航API的跨源问题,攻击者可借助精心构造的网页内容绕过同源策略限制。同源策略是浏览器安全的基础机制之一,旨隔离不同来源网站之间的数据访问边界,一旦被突破,可能引发用户数据被越权读取、会话信息泄露以及深入攻击链条的触发。 原因—— 从技术层面看,跨源问题往往发生在浏览器对页面跳转、资源加载与脚本上下文切换等流程的校验环节。当输入处理、来源判定或跳转逻辑存在边界条件缺陷时,攻击者便可能利用异常路径“伪装”来源,诱导浏览器在不应允许的场景下放行访问。苹果上表示,此次修复通过改进输入验证实现加固,表明漏洞成因与对特定输入或导航路径的校验不足有关。安全研究人员Thomas Espach发现并向苹果报告了该问题,推动补丁落地。 影响—— 据苹果披露,受影响版本涉及iOS 26.3.1、iPadOS 26.3.1以及macOS 26.3.1、macOS 26.3.2。若用户设备处于受影响版本且未及时获得补丁防护,访问恶意网页可能成为攻击入口。业内人士指出,浏览器内核漏洞之所以风险较高,在于其攻击面广、触达频率高,且常与钓鱼、广告投放、恶意脚本注入等传播方式结合,攻击成本相对较低。一旦同源策略被绕过,攻击者可能进一步窃取页面敏感数据、获取令牌信息或为后续的提权与代码执行创造条件,危害不容忽视。 对策—— 针对此次漏洞,苹果已在iOS 26.3.1(a)、iPadOS 26.3.1(a)、macOS 26.3.1(a)和macOS 26.3.2(a)中完成修复。更值得关注的是,补丁依托苹果提出的“后台安全改进”机制进行分发。苹果介绍,该机制面向Safari浏览器、WebKit框架栈及部分系统库等关键组件,以小型、持续的安全补丁形态提供修复,而非完全依赖传统的大版本系统更新,从而在安全响应时效上更具优势。该机制已在iOS 26.1、iPadOS 26.1和macOS 26及后续版本中获得支持并默认启用,用户也可在系统设置的“隐私与安全”中进行管理。苹果提示,如遇兼容性问题,有关改进可能被临时移除,并在后续软件更新中完善;若用户选择关闭自动安装,将可能只能等待下一次完整软件更新才能获得相应安全增强。
浏览器内核漏洞虽涉及技术细节,却直接影响用户登录、支付等关键操作的安全边界。快速发布轻量级补丁有助于减少攻击窗口,但安全防护并非一劳永逸。只有平台优化漏洞响应机制,用户保持更新意识和良好习惯,才能在数字生活中筑牢安全防线。