Apple lanzó el martes su primera ronda de mejoras de seguridad en segundo plano para acometer una descompostura de seguridad en WebKit que afecta a iOS, iPadOS y macOS.
La vulnerabilidad, rastreada como CVE-2026-20643 (puntuación CVSS: N/A), se ha descrito como un problema de origen cruzado en la API de navegación de WebKit que podría explotarse para eludir la política del mismo origen al procesar contenido web creado con fines malintencionados.
La descompostura afecta a iOS 26.3.1, iPadOS 26.3.1, macOS 26.3.1 y macOS 26.3.2. Se solucionó con una energía de entrada mejorada en iOS 26.3.1 (a), iPadOS 26.3.1 (a), macOS 26.3.1 (a) y macOS 26.3.2 (a). Al investigador de seguridad Thomas Espach se le atribuye el mérito de descubrir e informar la deficiencia.
Apple señala que las mejoras de seguridad en segundo plano están destinadas a ofrecer versiones de seguridad ligeras para componentes como el navegador Safari, la pila de ámbito WebKit y otras bibliotecas del sistema a través de parches de seguridad más pequeños y continuos en puesto de publicarlos como parte de actualizaciones de software más grandes.
La función es compatible y está habilitada para versiones futuras a partir de iOS 26.1, iPadOS 26.1 y macOS 26. En los casos en que se descubran problemas de compatibilidad, las mejoras pueden eliminarse temporalmente y luego mejorarse en una aggiornamento de software posterior, agrega Apple.
Los usuarios pueden controlar las mejoras de seguridad en segundo plano a través del menú Privacidad y seguridad en la aplicación Configuración. Para asegurar que se instalen automáticamente, se recomienda proseguir activada la opción “Instalar automáticamente”.
Vale la pena señalar que si los usuarios optan por desactivar esta configuración, tendrán que esperar hasta que las mejoras se incluyan en la próxima aggiornamento de software. Gastado desde esa perspectiva, la función es análoga a Rapid Security Response, que introdujo en iOS 16 como una forma de instalar actualizaciones de seguridad menores.
“Si se aplicó una restablecimiento de seguridad en segundo plano y elige eliminarla, su dispositivo vuelve a la aggiornamento de software básica (por ejemplo, iOS 26.3) sin aplicar mejoras de seguridad en segundo plano”, señaló Apple en un documento de ayuda.
El expansión se produce poco más de un mes luego de que Apple publicara correcciones para un día cero explotado activamente que afecta a iOS, iPadOS, macOS Tahoe, tvOS, watchOS y visionOS (CVE-2026-20700, puntuación CVSS: 7,8) y que podría provocar la ejecución de código subjetivo.
La semana pasada, el fabricante de iPhone asimismo amplió los parches para cuatro fallos de seguridad (CVE-2023-43010, CVE-2023-43000, CVE-2023-41974 y CVE-2024-23222) que se utilizaron como parte del kit de exploits Coruña.
