Apple lança primeira atualização de Melhorias de Segurança em Segundo Plano para corrigir falha no WebKit
Aprofundamento CEVIU
Aprofundamento
A falha CVE-2026-20643 não é um simples bug de navegação: ela permite que sites maliciosos contornem a Same Origin Policy, a barreira fundamental que impede que um domínio leia dados de outro, diretamente na Navigation API do WebKit. Isso significa que, por exemplo, um anúncio em um site de notícias poderia acessar cookies de um banco aberto em outra aba, ou até injetar comandos em uma sessão de e-mail ativa. A correção foi feita com validação de entrada aprimorada, mas o mais relevante é o canal usado: as Background Security Improvements (BSIs), mecanismo novo e operacional desde iOS/iPadOS/macOS 26.1, que atualiza componentes críticos como o WebKit sem reiniciar o sistema nem exigir uma atualização completa.
As BSIs são tecnicamente distintas das Rapid Security Responses (RSRs) de 2023: enquanto as RSRs eram patches quase exclusivos para vulnerabilidades ativamente exploradas, as BSIs são projetadas para correções proativas, com menor impacto operacional. Elas rodam no volume Preboot, usando cryptexes simbólicos em /System/Cryptexes/, e se aplicam em segundos após reinicialização, sem recifrar volumes, sem download pesado e com requisitos mínimos de bateria bem menores que os de uma atualização tradicional. É a primeira vez que a Apple usa esse canal para corrigir uma falha no núcleo da Navigation API, parte central da experiência web moderna em todos os seus dispositivos.
Por que isso importa
Qualquer falha no WebKit tem alcance sistêmico: ele é obrigatório para todos os navegadores no iOS e iPadOS (não só Safari), e está profundamente integrado ao macOS. Uma brecha nessa camada não afeta apenas o navegador, pode comprometer apps que usam WKWebView, serviços de autenticação baseados em web, e até integrações com sistemas corporativos via SSO. A adoção das BSIs para essa correção mostra que a Apple está migrando de respostas emergenciais para um modelo contínuo de atualização de segurança crítica, o que reduz janelas de exposição, mas também exige que equipes de TI e segurança entendam como monitorar, aprovar e, se necessário, reverter essas atualizações silenciosas em ambientes gerenciados.
Perguntas frequentes
O que são Background Security Improvements (BSIs) e como elas diferem das atualizações normais?
BSIs são atualizações leves que corrigem componentes críticos como WebKit, Safari e frameworks de sistema sem exigir uma atualização completa do OS. Elas são aplicadas no volume Preboot via cryptexes e ativadas após reinicialização, sem recifrar o disco. Diferem das atualizações tradicionais por serem menores, mais rápidas e com requisitos de bateria menos rígidos.
A falha CVE-2026-20643 já foi explorada no mundo real?
Não há confirmação pública de exploração ativa até 18 de março de 2026. A Apple classificou a vulnerabilidade como de gravidade média (CVSS 5.4), mas seu impacto potencial é alto devido à natureza da Same Origin Policy e ao papel central do WebKit em todos os navegadores do ecossistema iOS/iPadOS.
Como desativar ou remover uma BSI aplicada?
As BSIs podem ser removidas manualmente nas configurações de 'Privacidade e Segurança', revertendo o dispositivo ao estado da atualização de software base anterior. Se a instalação automática estiver desligada, as correções só serão aplicadas com a próxima atualização completa do sistema.
Quais versões do sistema operacional recebem essa correção?
A correção está disponível para iOS 26.3.1, iPadOS 26.3.1, macOS 26.3.1 e macOS 26.3.2. As BSIs exigem, como base mínima, iOS/iPadOS/macOS 26.1, versões lançadas em janeiro de 2026.
Fontes
- bleepingcomputer.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 18 de março de 2026
- Editoria
- CEVIU Segurança da Informação
