Vào thứ Ba, Apple đã phát hành đợt Background Security Improvements đầu tiên để khắc phục một lỗ hổng bảo mật trong WebKit ảnh hưởng đến iOS, iPadOS và macOS.
Lỗ hổng này, được theo dõi là CVE-2026-20643 (điểm CVSS: N/A), được mô tả là một vấn đề cross-origin trong Navigation API của WebKit có thể bị exploit để bỏ qua same-origin policy khi xử lý nội dung web được tạo ra một cách độc hại.
Lỗ hổng ảnh hưởng đến iOS 26.3.1, iPadOS 26.3.1, macOS 26.3.1 và macOS 26.3.2. Nó đã được khắc phục bằng cách cải thiện việc xác thực đầu vào trong iOS 26.3.1 (a), iPadOS 26.3.1 (a), macOS 26.3.1 (a) và macOS 26.3.2 (a). Nhà nghiên cứu bảo mật Thomas Espach đã được ghi nhận vì đã phát hiện và báo cáo thiếu sót này.
Apple lưu ý rằng Background Security Improvements nhằm mục đích cung cấp các bản phát hành bảo mật nhẹ cho các thành phần như trình duyệt Safari, WebKit framework stack và các thư viện hệ thống khác thông qua các bản vá bảo mật nhỏ hơn, liên tục thay vì phát hành chúng như một phần của các bản cập nhật phần mềm lớn hơn.
Tính năng này được hỗ trợ và kích hoạt cho các bản phát hành trong tương lai bắt đầu với iOS 26.1, iPadOS 26.1 và macOS 26. Trong trường hợp phát hiện ra các vấn đề tương thích, các cải tiến có thể tạm thời bị xóa và sau đó được tăng cường trong một bản cập nhật phần mềm tiếp theo, Apple cho biết thêm.
Người dùng có thể kiểm soát Background Security Improvements thông qua menu Privacy and Security trong ứng dụng Settings. Để đảm bảo chúng được cài đặt tự động, nên bật tùy chọn "Automatically Install".
Cần lưu ý rằng nếu người dùng chọn tắt cài đặt này, họ sẽ phải đợi cho đến khi các cải tiến được đưa vào bản cập nhật phần mềm tiếp theo. Theo cách nhìn đó, tính năng này tương tự như Rapid Security Response, mà Apple đã giới thiệu trong iOS 16 như một cách để cài đặt các bản cập nhật bảo mật nhỏ.
"Nếu một Background Security Improvement đã được áp dụng và bạn chọn xóa nó, thiết bị của bạn sẽ trở về bản cập nhật phần mềm cơ bản (ví dụ: iOS 26.3) mà không có Background Security Improvements nào được áp dụng," Apple lưu ý trong một tài liệu trợ giúp.
Sự phát triển này diễn ra chỉ hơn một tháng sau khi Apple phát hành các bản vá cho một lỗ hổng zero-day đang bị exploit tích cực ảnh hưởng đến iOS, iPadOS, macOS Tahoe, tvOS, watchOS và visionOS (CVE-2026-20700, điểm CVSS: 7.8) có thể dẫn đến thực thi mã tùy ý (arbitrary code execution).
Tuần trước, nhà sản xuất iPhone cũng mở rộng các bản vá cho bốn lỗ hổng bảo mật (CVE-2023-43010, CVE-2023-43000, CVE-2023-41974 và CVE-2024-23222) đã bị vũ khí hóa như một phần của Coruna exploit kit.
