Apple WebKit Security Flaw Exposes iOS and macOS Users to Content-Based Bypass Attacks
2026/03/18 gbhackers — Apple が公開したのは、iPhone/iPad/Mac をコンテンツ・ベースのバイパス攻撃にさらす、深刻な WebKit の脆弱性に対処する緊急セキュリティ・アップデートである。このパッチは、2026年3月17日 に Background Security Improvements メカニズムを通じてシームレスに配信され、Same Origin Policy 違反のリスクからデバイスを保護するが、完全な OS アップグレードは必要としない。
脆弱性の詳細
Apple が新たに特定した脆弱性 CVE-2026-20643 は、WebKit ブラウザ・エンジンの Navigation API の深部に存在するものであり、WebKit Bugzilla 306050 として管理されている。この脆弱性が影響を及ぼす範囲は、iOS 26.3.1/iPadOS 26.3.1/macOS 26.3.1/macOS 26.3.2 を実行するデバイスであり、Thomas Espach により発見/報告された。
この問題はクロスオリジン処理に関連し、細工された Web コンテンツを処理する際に発生する。この欠陥を悪用する攻撃者は、Same Origin Policy を完全に回避できる。このポリシーは、異なる Web サイト間を分離するための基本的なセキュリティ・メカニズムである。この分離が破綻すると、不正なクロスサイト・アクセスが発生し、認証トークンやセッション情報などの機密情報の不正取得が生じる可能性がある。
すでに Apple は、すべての影響を受けるプラットフォームにおいて、この脆弱性を修正している。具体的には、改良された入力検証プロトコルを実装することで、悪意の Web ペイロードの無効化を達成している。
Background Security Improvements の役割
このパッチは、軽量なセキュリティ・パッチを効率的に配布するための、専用の配信システム Background Security Improvements の展開事例である。この仕組みは、継続的なメンテナンスを必要とする、Safari ブラウザ/WebKit フレームワークといった、攻撃に晒されやすい重要システム・ライブラリや内部コンポーネントを対象とするものだ。この機能は、iOS 26.1/iPadOS 26.1/macOS 26.1 以降のデバイスでサポートされ、デフォルトで有効化されている。
この種の緊急セキュリティ修正を、大規模なソフトウェア更新から分離することで、ユーザー・エクスペリエンスを損なうことなく、シームレスかつ継続的なセキュリティ保護が提供される。また、この配信システムにはフォールバック機能が組み込まれているため、互換性の問題が発生した場合には、セキュリティ改善の一時的な無効化も可能になっている。問題のあるパッチを削除した場合には、デバイス上でバックグラウンド変更は保持されず、たとえば iOS 26.3 などの、安定したベースラインの状態へと復元される。
対策とデバイス管理
管理者およびユーザーは、システム設定内の Privacy & Security メニューから Background Security Improvements を管理できる。このメニュー内で Automatically Install が有効化されていることを確認する必要がある。この設定を無効にした場合には、次回の標準ソフトウェア・アップデートに含まれるまで、今回のような重要なセキュリティ・パッチは適用されない。
訳者後書:今回の WebKit における脆弱性 CVE-2026-20643 の原因は、ブラウザ・エンジンの Navigation API 内部におけるクロス・オリジン処理の不備にあります。本来であれば、Same Origin Policy という基本的な境界線により、異なる Web サイト間の通信が遮断されるはずですが、特定の Web コンテンツを読み込む際に正しく機能しなくなっていました。この仕組みの隙を突かれると、サイト間を跨いだかたちで、認証情報などの大切なデータが盗み見られるリスクが生じます。 Apple は入力検証のプロセスを強化することで、この問題に対処しました。よろしければ、Apple で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.