Apple opravila zraniteľnosť komponentu WebKit umožňujúcu obídenie politiky Same Origin

Spoločnosť Apple vydala bezpečnostné aktualizácie svojich operačných systémov iOS, iPadOS a macOS, ktoré opravujú zraniteľnosť komponentu WebKit. Zraniteľnosť spočíva v chybe mechanizmu CORS, ktorá vyplýva z nedostatočného overovania vstupov v rámci Navigation API.

Zraniteľné systémy:

• Zariadenia s operačným systémom verzie iOS 26.3.1
• Zariadenia s operačným systémom verzie iPadOS 26.3.1
• Zariadenia s operačným systémom verzie macOS 26.3.1
• Zariadenia s operačným systémom verzie macOS 26.3.2

Opis zraniteľnosti:

CVE-2026-20643 (CVSS skóre: 5,4)

Zraniteľnosť s označením CVE-2026-20643 sa nachádza v komponente WebKit a spočíva v chybnom nastavení mechanizmu CORS, resp. nedostatočnom overovaní vstupov v rámci Navigation API. Vzdialený neautentifikovaný útočník by ju podvrhnutím špeciálne vytvoreného webového obsahu mohol zneužiť na obídenie politiky Same Origin.

Spoločnosť Apple zraniteľnosť opravila záplatou cez službu Background Security Improvements, pri ktorej inštalácii sa po vzore Microsoft HotPatch nevyžaduje reštart zariadenia. Ide o zdôraznenie potreby operatívneho aktualizovania za účelom rýchlej reakcie na hrozby a zraniteľnosti. Apple uviedla, že sa zároveň jedná o prvú aktualizáciu vydanú týmto spôsobom.

Možné škody:

• Kompromitácia zariadenia
• Únik citlivých údajov

Odporúčania:

Spoločnosť Apple odporúča využiť službu Background Security Improvements na bezodkladnú aktualizáciu operačných systémov iOS, iPadOS  a macOS. Zapnúť ju možno v aplikácii Settings v časti Privacy and Security.

Pokiaľ danú službu nechcete využiť, zraniteľnosti opraví spoločnosť v nasledujúcej aktualizácii zasiahnutých operačných systémov.

Zdroje:

• https://support.apple.com/en-us/126604
• https://thehackernews.com/2026/03/apple-fixes-webkit-vulnerability.html
• https://nvd.nist.gov/vuln/detail/CVE-2026-20643