苹果这回把iOS和macOS系统里的WebKit安全漏洞给补上了,这下就不会被人用那种恶意的网页内容绕过同源策略了。这家伙编号叫CVE-2026-20643,其实就是WebKit导航API里出了岔子,导致跨源问题。研究员Thomas Espach发现了这事儿,告诉了苹果。 为了对付这个漏洞,苹果公司在周二放出了第一轮后台安全改进。这次主要是给iOS、iPadOS和macOS系统打补丁,这些系统从26.3.1开始都有这个问题。苹果把输入验证那块改进了一下,在26.3.1 (a)、26.3.2 (a)这几个版本里都给修好了。 苹果说这个后台安全改进就是个轻量级的安全机制,专门用来保护Safari浏览器、WebKit框架栈还有系统库这些组件。这玩意儿不用等大版本更新,发个小补丁就能用上。从iOS 26.1、iPadOS 26.1和macOS 26开始就支持了,默认也是开着的。要是有人用了觉得不舒服或者有兼容问题,暂时把它关了也行。不过得等到下一次大更新的时候再重新打开才行。 其实这个功能跟iOS 16里的快速安全响应挺像的。苹果的帮助文档里写得明白:要是你把后台安全改进关了,设备就会回退到原来的基准版本,那些刚打的补丁就不会再用上了。 说到最近的安全动态,苹果刚修复了一个被人拿零日漏洞搞事的bug,那个漏洞能让iOS、iPadOS、macOS Tahoe、tvOS、watchOS和visionOS系统执行任意代码。上周他们还补了四个以前被Coruna工具包利用的漏洞。 Q1:什么是后台安全改进? A:就是苹果搞的一个小补丁机制,专门修Safari和WebKit这些东西。不用等大更新就能用,跟iOS 16的快速安全响应差不多。 Q2:CVE-2026-20643漏洞有多危险? A:这是个跨源漏洞,恶意网页能绕过同源策略。同源策略可是很重要的保护机制,要是被破了可能泄露敏感数据。 Q3:怎么保证设备能自动获得后台安全改进? A:在设置里的隐私和安全菜单里把“自动安装”的选项打开就行。要是不打开就只能等下一次大更新才有机会拿到这些补丁了。