Die nun geschlossene Schwachstelle CVE-2026-20643 betrifft den Browser-Unterbau WebKit. Nach Apples Angaben können schädliche Webinhalte über sie die Same Origin Policy umgehen – jene Sicherheitsgrenze, die verhindert, dass Inhalte einer Herkunft auf Daten einer anderen zugreifen. Ursache ist ein Cross-Origin-Fehler in der Navigation API, den Apple durch eine verbesserte Eingabeprüfung adressiert hat. Gemeldet wurde das Problem vom Sicherheitsforscher Thomas Espach.
Im Mittelpunkt steht jedoch der Auslieferungsweg. Background Security Improvements sind dazu gedacht, kleine Sicherheitsfreigaben für Komponenten wie den Safari-Browser, den WebKit-Framework-Stack und weitere Systembibliotheken bereitzustellen, die laut Apple von kleineren, laufenden Patches zwischen den regulären Softwareupdates profitieren. Apple verweist zudem darauf, dass solche Verbesserungen in seltenen Fällen von Kompatibilitätsproblemen vorübergehend entfernt und in einem späteren Softwareupdate erneut eingespielt werden können.
Eingeführt hatte Apple die Funktion mit iOS 26.1, iPadOS 26.1 und macOS 26.1, um Sicherheitslücken zwischen den Hauptversionen rascher schließen zu können. Während Sicherheitsupdates früher stets eine neue Betriebssystemversion samt Neustart erforderten, lassen sich nun kleine Korrekturen im Hintergrund auf einzelne Komponenten anwenden. Erreichbar ist die Funktion über die Geräteeinstellungen im Menü “Datenschutz & Sicherheit”.
Apple warnt allerdings davor, einen solchen Patch wieder zu deinstallieren: Dabei werden alle zuvor angewandten Hintergrundkorrekturen entfernt, und das Gerät fällt auf den Ausgangsstand der Betriebssystemversion zurück – etwa iOS 26.3.1 – ohne die zusätzlichen Sicherheitsfixes. Damit gehen die über diese Funktion gelieferten Schnellreaktions-Schutzmaßnahmen verloren, und das Gerät verbleibt auf dem Grundschutzniveau, bis die Updates erneut eingespielt oder in ein späteres vollständiges Update aufgenommen werden. Apple empfiehlt deshalb ausdrücklich, diese Verbesserungen nur dann zu entfernen, wenn sie tatsächlich Probleme auf dem Gerät verursachen.
