出典: Security NEXT – https://www.security-next.com/182282
Apple、iOSやmacOS向けに重要なセキュリティアップデートをリリース
Appleは2026年3月17日、iOSやmacOS向けにセキュリティアップデートを公開しました。今回のアップデートでは、WebKitに存在した深刻な脆弱性を修正し、ユーザーの安全性を強化しています。
主要なポイント
- 対象製品とバージョン:「iOS 26.3.1(a)」「iPadOS 26.3.1(a)」「macOS 26.3.1(a)」および「MacBook Neo」向けの「macOS 26.3.2(a)」がアップデート対象。
- 修正された脆弱性:WebKitの「CVE-2026-20643」という脆弱性を解消。WebKitはSafariなどApple製ブラウザのレンダリングエンジン。
- 脆弱性の内容:Navigation APIにおいて細工されたウェブコンテンツが、同一生成元ポリシー(SOP)を回避できる問題。
- 同一生成元ポリシー(SOP)とは:ウェブのセキュリティ機能で、異なるドメイン間での情報アクセスを制限し、不正アクセスや情報漏洩を防止。
- 影響:悪意あるウェブサイトがユーザーのデータに不正にアクセスするリスクを軽減。
技術的な詳細や背景情報
WebKitはAppleのSafariブラウザや多くのiOS/macOSアプリで利用されているウェブレンダリングエンジンです。今回修正された「CVE-2026-20643」は、Navigation APIの実装における脆弱性で、細工されたウェブコンテンツが同一生成元ポリシー(SOP)を回避し、通常はアクセスできない他のドメインの情報にアクセスできてしまう問題です。
同一生成元ポリシーはウェブセキュリティの基本的な仕組みであり、異なるオリジン(ドメイン、プロトコル、ポートの組み合わせ)間でのスクリプトのアクセスを制限します。この制限が回避されると、クロスサイトスクリプティング(XSS)や情報漏洩のリスクが高まります。
影響や重要性
この脆弱性は、悪意のあるウェブサイトがユーザーのプライベート情報や認証情報に不正にアクセスする可能性があるため、非常に重要です。特にSafariを利用するiOSやmacOSユーザーは、早急にアップデートを適用することが推奨されます。
Appleの迅速な対応により、ユーザーの安全性が確保されましたが、常に最新のセキュリティアップデートを適用することがサイバー攻撃から身を守る基本です。
まとめ
AppleはiOSとmacOS向けにWebKitの深刻な脆弱性「CVE-2026-20643」を修正するセキュリティアップデートをリリースしました。この脆弱性は同一生成元ポリシーを回避できる問題であり、ユーザーの情報漏洩リスクを高めるものでした。ユーザーは速やかにアップデートを適用し、安全な環境を維持しましょう。
