Die Schwachstelle CVE-2026-20643 steckt in der Navigation API von WebKit und wird von Apple als Cross-Origin-Problem eingestuft. Angreifer hätten sie mit eigens gestalteten Webinhalten ausnutzen können, um die Same-Origin-Policy zu umgehen. Einen CVSS-Score gibt Apple nicht an. Die Behebung erfolgt über eine verbesserte Eingabevalidierung. Entdeckt und gemeldet wurde die Lücke laut Apple vom Sicherheitsforscher Thomas Espach.
Bemerkenswert ist vor allem der Auslieferungsweg: Es handelt sich um die erste Runde der Background Security Improvements. Mit diesem Mechanismus will Apple kleinere Sicherheitsupdates für Komponenten wie den Safari-Browser, den WebKit-Framework-Stack und weitere Systembibliotheken in Form fortlaufender, schlanker Patches ausspielen, anstatt sie nur als Teil größerer Softwareaktualisierungen zu verteilen.
Unterstützt und aktiviert ist die Funktion für künftige Versionen ab iOS 26.1, iPadOS 26.1 und macOS 26. Treten Kompatibilitätsprobleme auf, können die Verbesserungen laut Apple vorübergehend wieder entfernt und in einem späteren Softwareupdate überarbeitet werden.
Nutzer steuern die Background Security Improvements über das Menü “Datenschutz & Sicherheit” in den Einstellungen. Damit die Patches automatisch installiert werden, empfiehlt Apple, die Option zur automatischen Installation aktiviert zu lassen. Wer sie abschaltet, muss warten, bis die Verbesserungen Bestandteil des nächsten regulären Softwareupdates werden. Damit ähnelt die Funktion der mit iOS 16 eingeführten Rapid Security Response.
In einem Hilfedokument erläutert Apple die Rücknahme einer solchen Aktualisierung: Wurde eine Background Security Improvement angewendet und entscheidet man sich, sie zu entfernen, kehrt das Gerät zum zugrunde liegenden Softwarestand zurück — etwa iOS 26.3 — ohne angewendete Background Security Improvements.
Der Schritt erfolgt gut einen Monat, nachdem Apple Korrekturen für eine aktiv ausgenutzte Zero-Day-Lücke veröffentlicht hatte, die iOS, iPadOS, macOS Tahoe, tvOS, watchOS und visionOS betraf (CVE-2026-20700, CVSS-Wert: 7.8) und zur Ausführung beliebigen Codes führen konnte. Kürzlich weitete der iPhone-Hersteller zudem Patches für vier Schwachstellen aus (CVE-2023-43010, CVE-2023-43000, CVE-2023-41974 und CVE-2024-23222), die als Teil des Exploit-Kits Coruna eingesetzt wurden.
