Apple закрыла опасную брешь в iPhone, iPad и Mac

Apple 17 марта выпустила Background Security Improvements для iOS 26.3.1, iPadOS 26.3.1, macOS 26.3.1 и macOS 26.3.2. Исправление закрывает уязвимость WebKit, из-за которой специально созданный веб-контент мог обходить Same Origin Policy — один из ключевых механизмов браузерной безопасности.


Такие новости обычно проходят мимо массового пользователя. Нет нового дизайна, нет ярких функций, нет ощущения большого релиза. Но именно подобные обновления нередко оказываются важнее заметных презентационных новинок. На этот раз Apple выпустила не очередную версию операционной системы, а отдельное фоновое исправление безопасности — без привычного большого апдейта, но с вполне серьёзной причиной.

Компания сообщила, что проблема была обнаружена в WebKit. Это тот самый движок, на котором работает Safari, а вместе с ним — и значительная часть встроенного веб-контента в экосистеме Apple. По описанию производителя, вредоносно подготовленная страница могла обойти Same Origin Policy. За сухой формулировкой стоит важная деталь: речь идёт о правиле, которое не позволяет одному сайту свободно взаимодействовать с данными другого.

Именно Same Origin Policy много лет остаётся одним из фундаментальных ограничителей в архитектуре веба. Благодаря ему сайт, открытый во вкладке, не должен бесконтрольно видеть содержимое чужой сессии, читать данные с другого домена или вмешиваться в чужие процессы авторизации. Когда уязвимость затрагивает этот слой, проблема перестаёт быть частной ошибкой браузера. Она касается самой идеи разделения и изоляции пользовательских данных.

Apple пишет, что брешь была связана с cross-origin issue in Navigation API. Исправление, по версии компании, достигнуто через improved input validation — усиленную проверку входных данных. Такие фразы звучат почти стерильно, но по сути речь идёт о довольно понятной вещи: система стала жёстче проверять сценарии, в которых страница пытается инициировать обработку переходов и обращение к данным за пределами допустимого источника.

Уязвимость получила идентификатор CVE-2026-20643. Исследователем указан Thomas Espach. Сам по себе этот индекс важен не только для профессионалов. Он показывает, что проблема вошла в публичный реестр и теперь становится частью более широкой практики отслеживания цифровых рисков: от корпоративных служб безопасности до обычных пользователей, которые привыкают смотреть не только на номер версии, но и на смысл самого патча.

Отдельного внимания заслуживает и сам формат обновления. Background Security Improvements — это новая логика доставки защитных исправлений в системах Apple. Она пришла на смену прежнему механизму Rapid Security Responses и фактически делает безопасность менее зависимой от тяжёлого цикла полноценных релизов. Компания выносит критические исправления в отдельный канал, чтобы не ждать, пока соберётся следующий крупный пакет изменений.

Для пользователя это важный сдвиг, хотя внешне он почти незаметен. Раньше срочное исправление всё равно ассоциировалось с полноценным обновлением системы: нужно ждать, устанавливать, иногда перезагружать устройство, освобождать место, откладывать момент на потом. Теперь часть таких задач переносится в фоновый режим. Уязвимость могут закрыть быстрее, а путь от обнаружения проблемы до защиты устройства становится короче.

В бюллетене Apple отдельно подчёркивается, что механизм BSI доступен только на относительно свежих версиях операционных систем — начиная с iOS 26.1, iPadOS 26.1 и macOS 26.1. Это выглядит как техническая деталь, но на практике превращается в ещё один аргумент в пользу своевременных больших обновлений. Тот, кто долго остаётся на старой версии системы, рискует выпасть не только из цикла новых функций, но и из ускоренного контура защиты.

Проверить наличие исправления можно в разделе «Конфиденциальность и безопасность». На iPhone и iPad это блок Security Improvements, на Mac — соответствующий раздел в System Settings. Если включена автоматическая установка, патч приходит сам. Apple также указывает, что отдельные улучшения для Safari в macOS могут начать работать уже после перезапуска браузера, даже без полной перезагрузки компьютера.

На первый взгляд всё это похоже на рядовой технический сервис: компания что-то закрыла, пользователь что-то получил, система стала безопаснее. Но в действительности меняется сама модель отношений между платформой и угрозой. Apple всё заметнее уходит от логики, в которой безопасность живёт по расписанию больших релизов. Теперь защита выносится в постоянный процесс, почти скрытый от глаз, но более быстрый и адресный.

ИЗНАНКА

Главная перемена здесь не в том, что Apple устранила ещё одну брешь в WebKit. Главное — как именно она это сделала. Ещё недавно пользователь ждал следующей версии системы, как поезд по расписанию. Теперь компания пытается действовать иначе: не откладывать защиту до крупного релиза, а вшивать её в повседневную жизнь устройства. И это уже не просто обновление безопасности, а новая дисциплина цифровой среды, где время реакции становится не менее важным, чем сама технология.

Фото: соцсети/ИЗНАНКА.

ИЗНАНКА — другая сторона событий.