Na última terça-feira, a Apple lançou a primeira leva de Background Security Improvements para corrigir uma vulnerabilidade no WebKit que afeta iOS, iPadOS e macOS.
Identificada como
CVE-2026-20643
(sem pontuação CVSS disponível), a falha consiste em um problema de cross-origin na Navigation API do WebKit.
Esse bug poderia ser explorado para contornar a política de mesma origem (same-origin policy) ao processar conteúdos web manipulados de forma maliciosa.
O problema atinge as versões iOS 26.3.1, iPadOS 26.3.1, macOS 26.3.1 e macOS 26.3.2.
A correção foi implementada por meio de uma validação de entrada aprimorada nas versões iOS 26.3.1 (a), iPadOS 26.3.1 (a), macOS 26.3.1 (a) e macOS 26.3.2 (a).
O pesquisador de segurança Thomas Espach foi creditado pela descoberta e notificação da vulnerabilidade.
Segundo a Apple, as Background Security Improvements são atualizações de segurança leves destinadas a componentes como o navegador Safari, a pilha do framework WebKit e outras bibliotecas do sistema.
O objetivo é entregar patches menores e contínuos, em vez de agrupar essas correções em grandes atualizações de software.
Esse recurso está habilitado e suportado para versões a partir do iOS 26.1, iPadOS 26.1 e macOS 26.
Caso sejam detectados problemas de compatibilidade, as melhorias podem ser temporariamente removidas e reaplicadas em atualizações subsequentes.
Os usuários podem gerenciar as Background Security Improvements pelo menu Privacidade e Segurança no app Ajustes.
Para garantir a instalação automática, recomenda-se manter a opção "Instalação Automática" ativada.
Vale destacar que, se o usuário optar por desabilitar essa funcionalidade, terá que aguardar até que as melhorias sejam incluídas na próxima atualização oficial do sistema.
Nesse aspecto, o recurso é semelhante ao Rapid Security Response, introduzido no iOS 16 para facilitar a instalação de pequenas atualizações de segurança.
Conforme detalhado pela Apple em documento de suporte: “Se uma Background Security Improvement foi aplicada e você optar por removê-la, seu dispositivo retornará para a atualização básica do sistema (por exemplo, iOS 26.3), sem as melhorias em segundo plano.”
Essa novidade surge pouco mais de um mês após a Apple corrigir uma zero-day explorada ativamente que afetava iOS, iPadOS, macOS Tahoe, tvOS, watchOS e visionOS (
CVE-2026-20700
, CVSS 7,8), permitindo execução arbitrária de código.
Na semana passada, a empresa também ampliou patches para quatro vulnerabilidades (
CVE-2023-43010
,
CVE-2023-43000
,
CVE-2023-41974
e
CVE-2024-23222
) usadas pelo kit de exploits Coruna.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...