17 марта 2026 года Apple сделала то, чего раньше не делала никогда. Компания выпустила патч безопасности - реальный, с CVE-номером, закрывающий уязвимость в WebKit - и не потребовала ни полного обновления операционной системы, ни перезагрузки, которая занимает несколько минут и требует свободного времени. Просто небольшое фоновое обновление, короткий перезапуск - и готово. Это первый практический запуск механизма Background Security Improvements, который Apple анонсировала ещё в iOS 26.1, но до марта не использовала в боевых условиях.
Для большинства пользователей всё произошло незаметно: устройство скачало патч само, применило его, версия системы стала называться iOS 26.3.1 (a). Скромная буква в скобках - и за ней стоит довольно серьёзный сдвиг в том, как Apple планирует доставлять защиту в будущем.
CVE-2026-20643 - что именно было сломано в WebKit и почему это важно
Уязвимость, которую закрыло это обновление, затрагивает Navigation API внутри движка WebKit. Технически речь идёт о cross-origin проблеме: баг позволял вредоносному веб-контенту обойти Same Origin Policy - одно из базовых правил безопасности браузеров, которое запрещает одному сайту читать данные другого.
Same Origin Policy работает как строгий барьер между вкладками и доменами. Благодаря ему страница вашего банка не может быть прочитана случайным скриптом с другого сайта, а сессионные куки остаются там, где им положено быть. Это правило лежит в основе безопасности веба с самого начала - без него любой сайт мог бы свободно читать данные любого другого, открытого в соседней вкладке. Когда этот барьер пробит, последствия могут быть неприятными: вредоносный сайт получает возможность притвориться доверенным ресурсом и попытаться прочитать то, к чему у него не должно быть доступа - активные сессии, сохранённые данные, куки. Для практической атаки достаточно завлечь пользователя на специально подготовленную страницу - дальше браузер сделает остальное.
Исследователь Томас Эспак, обнаруживший уязвимость и передавший информацию Apple, получил официальное упоминание в бюллетене. Apple устранила проблему улучшенной валидацией входных данных в Navigation API - то есть движок теперь строже проверяет запросы на навигацию между источниками и отсекает те, которые пытаются нарушить границы.
Важная деталь: Apple не сообщила о реальных случаях эксплуатации этой уязвимости. Тем не менее компания сочла проблему достаточно серьёзной, чтобы выпустить исправление через новый механизм, не дожидаясь следующего полного обновления - OS 26.4 должен выйти совсем скоро. Такая торопливость говорит о том, что специалисты Apple оценивали потенциальный риск как реальный, а не гипотетический.
Как работает Background Security Improvements и чем он отличается от обычных обновлений
Background Security Improvements - это механизм точечной доставки патчей, который Apple представила начиная с iOS 26.1, iPadOS 26.1 и macOS 26.1. Его цель - закрывать уязвимости в конкретных компонентах системы быстро и легко, не заставляя пользователя проходить через полный цикл обновления ОС.
Под действие механизма попадают компоненты, которые особенно часто становятся целью атак: Safari, движок WebKit, другие системные библиотеки, взаимодействующие с внешним контентом. Это логично - именно эти части системы постоянно соприкасаются с тем, что приходит из интернета, и именно в них уязвимости обнаруживаются чаще всего.
Практическая разница между Background Security Improvement и обычным обновлением ощутима. Патч устанавливается поверх существующей версии системы - устройство не скачивает новый образ ОС целиком, а получает только нужные изменения. Результат виден в номере версии: iOS 26.3.1 становится iOS 26.3.1 (a). Для обновлений, затрагивающих только Safari на Mac, перезагрузка и вовсе не нужна - достаточно перезапустить браузер. Для более глубоких изменений требуется короткий перезапуск устройства - значительно быстрее обычного.
Обновления применяются автоматически, если в настройках включён соответствующий параметр. Найти его можно в разделе "Конфиденциальность и безопасность" - и там же можно установить патч вручную, не дожидаясь фонового запуска. После установки номер версии меняется, и это единственное видимое свидетельство того, что защита обновилась.
Что происходит при откате и почему Apple не рекомендует его делать
Background Security Improvements поддерживают откат - пользователь или сам Apple могут вернуть устройство к базовому состоянию версии. Но здесь есть принципиальный нюанс, который стоит понимать правильно.
При удалении фонового патча устройство возвращается не просто к предыдущему состоянию, а к базовой версии операционной системы без каких-либо накопленных фоновых исправлений. То есть если за время работы механизм доставил несколько патчей, откат одного снимает их все. Устройство оказывается на уровне безопасности исходного релиза - без каких-либо промежуточных исправлений.
Apple прямо предупреждает: удалять фоновые обновления не рекомендуется, если только конкретный патч не вызвал проблем с совместимостью. Если такое случилось, Apple может временно отозвать обновление и выпустить исправленную версию в последующем релизе. Механизм отзыва заложен в архитектуру изначально - это страховочная сетка для крайних случаев, а не стандартный сценарий использования.
Почему этот механизм появился именно сейчас
Уязвимости в WebKit - не редкость. Движок обрабатывает веб-контент на всех устройствах Apple: в Safari, в приложении Mail, в App Store, в тысячах приложений, использующих встроенный браузерный компонент. Поверхность атаки огромная, а темп обнаружения новых уязвимостей достаточно высок, чтобы ждать следующего планового обновления было неудобно.
До появления Background Security Improvements у Apple было по сути два варианта: выпускать полное обновление ОС ради одного патча или ждать, пока наберётся несколько исправлений для совместного релиза. Первый вариант создаёт лишнюю нагрузку на пользователей и серверную инфраструктуру, второй - означает, что уязвимость живёт в устройствах дольше, чем могла бы.
Новый механизм закрывает этот зазор. Apple получает инструмент быстрого реагирования, пользователи - защиту без лишних движений, а исследователи безопасности - сигнал о том, что компания готова реагировать на находки быстро, не привязываясь к плановому календарю обновлений.
Контекст важен: незадолго до этого Apple также исправляла активно эксплуатируемый zero-day CVE-2026-20700 в iOS, iPadOS и macOS, который позволял выполнять произвольный код с оценкой CVSS 7.8. Отдельно была расширена серия патчей для четырёх уязвимостей, использовавшихся в рамках набора эксплойтов Coruna. На этом фоне реакция на CVE-2026-20643 через новый канал выглядит как часть осознанной стратегии: критические вещи закрывать быстро, не дожидаясь удобного момента. Злоумышленники давно научились связывать несколько некритических уязвимостей в цепочки, которые в сумме дают серьёзный результат - именно поэтому даже "некритические" баги в WebKit получают приоритет.
Как проверить наличие обновления и убедиться в защите
Получить Background Security Improvement можно двумя способами - автоматически или вручную. Автоматический режим работает, если в настройках устройства включена соответствующая опция.
На iPhone и iPad путь такой: "Настройки" - "Конфиденциальность и безопасность" - прокрутить вниз до раздела "Background Security Improvements" и убедиться, что переключатель "Устанавливать автоматически" включён. На Mac: меню Apple - "Системные настройки" - "Конфиденциальность и безопасность" - прокрутить вниз до того же раздела.
Если обновление уже доступно, но не установилось автоматически, там же появится кнопка "Установить". После установки номер версии в разделе "Об этом устройстве" должен показывать iOS 26.3.1 (a) или macOS 26.3.1 (a) соответственно. Для MacBook Neo - macOS 26.3.2 (a).
Тем, кто находится на более ранней версии iOS 26, фоновый патч не отобразится отдельно - он будет включён в общее обновление системы через стандартный раздел "Обновление ПО". Механизм Background Security Improvements работает только на актуальной ветке iOS 26.x.
Маленькая буква (a) в номере версии - это именно то, что она и означает: устройство получило дополнительную защиту быстрее, чем того потребовал бы обычный цикл обновлений. И если Apple выдержит этот темп в будущем, пользователи получат нечто редкое в мире потребительских устройств - безопасность, которая не требует от них ничего, кроме включённого автообновления.
Канал сайта в Telegram
Канал сайта на YouTube