Apple ha estrenat un mecanisme nou per repartir pedaços de seguretat sense obligar a instal·lar una versió completa del sistema. L’anomena Background Security Improvements i la seva primera entrega real corregeix CVE-2026-20643, un error de WebKit pel qual una pàgina web manipulada podia saltar-se la política del mateix origen (Same Origin Policy).
Què falla exactament
El problema és a la Navigation API de WebKit, el motor que hi ha darrere de Safari i de qualsevol vista web a iOS, iPadOS i macOS. Apple el descriu com un error d’origen creuat que s’ha resolt amb una millor validació de l’entrada. A la pràctica, la Same Origin Policy és la barrera que impedeix que un lloc llegeixi dades d’un altre. Quan aquesta barrera es trenca, una web maliciosa pot fer-se passar per una de diferent, una en què sí que confies, i llegir informació que hauria de quedar aïllada entre pestanyes o dominis.
No cal instal·lar res ni donar permisos estranys. N’hi ha prou que el navegador processi contingut web preparat per disparar l’error. Per això afecta tanta gent: qualsevol app que mostri pàgines amb WebKit hereta el problema, no només Safari.
L’error el va reportar l’investigador Thomas Espach. En el moment del pedaç no constava explotació activa.
A qui afecta i quines versions ho arreglen
Apple ho va corregir a iOS 26.3.1, iPadOS 26.3.1 i macOS 26.3.1, amb una entrega addicional a macOS 26.3.2. Si tens un Mac amb macOS Tahoe a la branca 26.x, t’arriba per aquesta via.
Aquí hi ha la part interessant. Background Security Improvements només funciona a l’última branca del sistema, la 26.x, i s’aplica de manera silenciosa en segon pla si ja estàs actualitzat. És la resposta d’Apple al vell problema dels pedaços que triguen a arribar perquè l’usuari ajorna l’actualització gran. Si t’has quedat en una branca anterior de macOS, no reps aquest pedaç automàtic i hauries d’actualitzar pel camí tradicional.
Gravetat i mitigació
La gravetat és alta. Un bypass de la Same Origin Policy obre la porta al robatori de dades entre llocs, que és justament el que aquesta política existeix per evitar. No arriba al nivell d’execució de codi, però filtrar credencials de sessió o dades personals d’un domini de confiança és seriós.
La mitigació és directa: tenir el dispositiu a la branca 26.x i deixar activades les actualitzacions de seguretat en segon pla. Al Mac, comprova a la Configuració del Sistema que el dispositiu està al dia i que Background Security Improvements apareix actiu. Si administres un parc d’equips, convé confirmar que les màquines estan a macOS 26.3.1 o posterior abans de donar per tancat l’incident, perquè les versions LTS o més antigues no reben aquest repartiment silenciós.
Si t’interessa el context de les actualitzacions de seguretat d’Apple de març, en aquell mateix lot va sortir macOS Tahoe 26.4 amb més de 70 CVE corregits, inclosa una escalada a root a PackageKit.
Font
- Apple security releases: https://support.apple.com/en-us/100100
- NVD CVE-2026-20643: https://nvd.nist.gov/vuln/detail/CVE-2026-20643