Apple lanzó el martes la primera ronda de mejoras de seguridad en segundo plano para abordar una falla de seguridad en WebKit que afecta a iOS, iPadOS y macOS.
La vulnerabilidad, rastreada como CVE-2026-20643 (puntuación CVSS: N/A), se describe como un problema de origen cruzado en la API de navegación de WebKit que puede explotarse para eludir la política del mismo origen al procesar contenido web creado con fines malintencionados.
Esta falla afecta a iOS 26.3.1, iPadOS 26.3.1, macOS 26.3.1 y macOS 26.3.2. Este problema se soluciona con una validación de entrada mejorada en iOS 26.3.1 (a), iPadOS 26.3.1 (a), macOS 26.3.1 (a) y macOS 26.3.2 (a). Al investigador de seguridad Thomas Espach se le atribuye el descubrimiento y el informe de esta falla.
Apple dice que las mejoras de seguridad en segundo plano tienen como objetivo ofrecer versiones de seguridad ligeras para componentes como el navegador Safari, la pila de marco WebKit y otras bibliotecas del sistema a través de parches de seguridad pequeños y continuos, en lugar de publicarlos como parte de actualizaciones de software más grandes.
Esta función será compatible y estará habilitada en versiones futuras de iOS 26.1, iPadOS 26.1, macOS 26 y posteriores. Si se descubren problemas de compatibilidad, es posible que las mejoras se eliminen temporalmente y se mejoren en actualizaciones de software posteriores, agregó Apple.
Los usuarios pueden controlar las mejoras de seguridad en segundo plano desde el menú Privacidad y seguridad en la aplicación Configuración. Para garantizar la instalación automática, recomendamos dejar marcada la opción Instalación automática.
Tenga en cuenta que si los usuarios optan por desactivar esta configuración, tendrán que esperar a que la próxima actualización de software incluya las mejoras. Desde esa perspectiva, esta función es similar a Rapid Security Response, que se introdujo en iOS 16 como una forma de instalar actualizaciones de seguridad menores.
«Si se aplican mejoras de seguridad en segundo plano y usted elige eliminarlas, su dispositivo vuelve a una actualización de software básica (como iOS 26.3) que no tiene mejoras de seguridad en segundo plano aplicadas», dice Apple en un documento de ayuda.
Este desarrollo se produce poco más de un mes después de que Apple publicara una solución para un día cero explotado activamente que afectaba a iOS, iPadOS, macOS Tahoe, tvOS, watchOS, visionOS (CVE-2026-20700, puntuación CVSS: 7,8) y podría provocar la ejecución de código arbitrario.
La semana pasada, el fabricante del iPhone amplió parches para cuatro fallos de seguridad (CVE-2023-43010, CVE-2023-43000, CVE-2023-41974 y CVE-2024-23222) que se utilizaron como parte del kit de exploits Coruna.
Source link
