文章总结： 苹果紧急发布WebKit安全修复，针对CVE-2026-20643漏洞（WebKit导航API跨域问题），该漏洞可绕过同源策略影响iOS26.3.1、iPadOS26.3.1、macOS26.3.1/26.3.2系统。修复版本为iOS26.3.1(a)等，通过改进输入验证解决。建议用户开启后台安全改进的自动安装功能以获取持续补丁。 综合评分： 85 文章分类： 漏洞预警,解决方案,web安全,应用安全,终端安全

苹果紧急发布WebKit安全修复，同源策略绕过漏洞影响iOS/macOS

看雪学苑 看雪学苑

看雪学苑

2026年3月18日 17:59

近日，苹果公司面向其操作系统发布了首轮“后台安全改进”，旨在修复一个存在于WebKit中的安全漏洞，该漏洞广泛影响iOS、iPadOS以及macOS设备。

这个被追踪为CVE-2026-20643的漏洞，被描述为WebKit导航API中的跨域问题。攻击者可能通过诱导用户访问恶意制作的网页内容，利用该漏洞绕过至关重要的同源策略，从而威胁用户数据安全。

该漏洞影响了以下系统版本：

• iOS 26.3.1
• iPadOS 26.3.1
• macOS 26.3.1
• macOS 26.3.2

苹果已在后续的特殊更新版本中，通过改进输入验证机制解决了这一问题：

• iOS 26.3.1 (a)
• iPadOS 26.3.1 (a)
• macOS 26.3.1 (a)
• macOS 26.3.2 (a)

据悉，本次漏洞由安全研究员托马斯·埃斯帕奇发现并报告。苹果公司介绍，“后台安全改进”是一项新机制，旨在通过更小、更持续的补丁方式，为Safari浏览器、WebKit框架栈及其他系统库等组件提供轻量级的安全更新，而无需等待重大的软件版本更新。

该功能从iOS 26.1、iPadOS 26.1和macOS 26开始支持并默认启用。用户可以在“设置”App的“隐私与安全”菜单中对其进行管理。为确保能自动安装这些关键安全补丁，建议用户保持“自动安装”选项为开启状态。

苹果也提醒，如果用户选择关闭此功能，则必须等到这些改进被包含在下一次完整软件更新中时才能获得修复。这类似于苹果在iOS 16中引入的“快速安全响应”机制。若用户移除了已应用的后台安全改进，设备将回退到未应用这些改进的基础软件版本。

此次更新发布前不久，苹果刚刚修复了一个曾遭积极利用的零日漏洞（CVE-2026-20700），该漏洞影响iOS、iPadOS、macOS Tahoe、tvOS、watchOS和visionOS，可导致任意代码执行。

此外，上周苹果还扩展了针对四个安全漏洞（CVE-2023-43010、CVE-2023-43000、CVE-2023-41974和CVE-2024-23222）的补丁，这些漏洞曾被恶意利用于Coruna漏洞利用工具包中。

﹀

﹀

﹀

球分享

球点赞

球在看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：看雪学苑 看雪学苑 看雪学苑《苹果紧急发布WebKit安全修复，同源策略绕过漏洞影响iOS/macOS》