Descoberta e Escopo
A Apple lançou sua primeira rodada de Melhorias de Segurança de Fundo para corrigir uma falha de segurança no WebKit que afeta iOS, iPadOS e macOS. A vulnerabilidade, rastreada como CVE-2026-20643, é descrita como um problema de cross-origin na API de Navegação do WebKit.
O problema permite que o mesmo-origin policy seja contornado ao processar conteúdo web maliciosamente elaborado. Embora a pontuação CVSS não tenha sido divulgada, a natureza da falha sugere riscos significativos para a integridade da navegação segura.
Impacto e Alcance
O bypass da política de mesmo-origem pode permitir que scripts maliciosos acessem dados de outros domínios que deveriam estar isolados. Isso é crítico para a segurança de aplicativos web e navegadores móveis.
A correção foi incluída nas atualizações de segurança de fundo, indicando que a Apple prioriza a proteção proativa dos usuários contra ameaças emergentes antes mesmo de explorações amplas serem confirmadas publicamente.
Recomendações
Usuários de iOS, iPadOS e macOS devem garantir que seus dispositivos estejam atualizados com a versão mais recente do sistema operacional para aplicar as correções do WebKit.
Desenvolvedores que utilizam WebKit devem revisar suas implementações de navegação para garantir que não explorem caminhos de código vulneráveis antes da aplicação do patch.
Contexto de Segurança
Esta correção faz parte do esforço contínuo da Apple para fortalecer a segurança do ecossistema. A API de Navegação é um componente central que gerencia como os aplicativos interagem com conteúdo web, tornando sua segurança vital para a proteção do usuário final.