Apple patcht kritieke WebKit-kwetsbaarheid via stille achtergrondupdate

Stille update zonder herstarten

Apple heeft op 17 maart 2026 zijn eerste zogeheten Background Security Improvement uitgerold voor iOS 26.3.1, iPadOS 26.3.1 en macOS Tahoe 26.3.1. Het gaat om een lichtgewicht beveiligingspatch die automatisch en op de achtergrond wordt geinstalleerd, zonder dat de gebruiker een knop hoeft te bedienen of het apparaat opnieuw hoeft op te starten. De technologie werd geintroduceerd in iOS 26.1 en richt zich specifiek op beveiligingscomponenten zoals WebKit, de browser-engine die ten grondslag ligt aan Safari en alle andere browsers op Apple-platforms.

CVE-2026-20643: same-origin beleid omzeild

De kwetsbaarheid staat geregistreerd als CVE-2026-20643 en bevindt zich in de Navigation API van WebKit. Het probleem werd ontdekt door beveiligingsonderzoeker Thomas Espach. Via kwaadaardig samengestelde webpagina's kon een aanvaller het same-origin-beleid omzeilen, een fundamenteel veiligheidsmechanisme dat voorkomt dat websites elkaars data, actieve sessies en inlogcookies kunnen uitlezen. In de praktijk betekende dit dat een slachtoffer dat een frauduleuze website bezocht het risico liep dat gegevens van andere open tabbladen, zoals bankzittingen of e-mailaccounts, werden blootgesteld. Apple heeft het lek verholpen via verbeterde invoervalidatie in de Navigation API.

Geen volledige update-download nodig

Bij gewone iOS-updates moet het apparaat een volledig nieuw besturingssysteemimage downloaden, soms honderden megabytes groot, waarna een herstart volgt. Background Security Improvements werkt anders: alleen het getroffen component wordt vervangen, in dit geval het WebKit-framework. De patch is kleiner, sneller geinstalleerd en vereist geen gebruikersinteractie. Apple benadrukt dat dit mechanisme uitsluitend voor gerichte beveiligingsfixes wordt ingezet en niet voor nieuwe functies. In de instellingen is te zien of versie 26.3.1(a) actief is, waarbij de letter a het Background Security Improvement markeert.

Gefaseerde uitrol zorgt voor onduidelijkheid

Niet alle apparaten ontvingen de patch direct. Apple kiest voor een gefaseerde uitrol om eventuele problemen tijdig te signaleren en terug te draaien. Beveiligingsonderzoekers en gebruikers meldden dat op sommige toestellen de update meerdere dagen na de aankondiging nog niet zichtbaar was. Wie zeker wil zijn beschermd te zijn, kan in Instellingen handmatig naar updates zoeken. Apple raadt bovendien aan om automatische updates ingeschakeld te houden, zodat toekomstige achtergrondpatches onmiddellijk worden toegepast.

Coruna-exploit treft ook oudere iPhones

Tegelijkertijd bracht Apple afzonderlijke updates uit voor oudere apparaten. iOS 16.7.15 en iOS 15.8.7 adresseren het zogeheten Coruna-exploit, ontdekt door onderzoekers van Google en het beveiligingsbedrijf iVerify. Dit exploit combineert meerdere kwetsbaarheden om de sandbox van iOS te doorbreken en raakt apparaten met iOS 13 tot en met iOS 17.2.1, een periode van bijna zes jaar. Dat Apple voor deze oudere platforms nog beveiligingsondersteuning levert, onderscheidt het bedrijf van veel Android-fabrikanten die oudere toestellen doorgaans na twee tot vier jaar laten vallen.

Bredere betekenis voor mobiele beveiliging

De introductie van Background Security Improvements past in een bredere industrie-trend waarbij platformleveranciers proberen de tijd tussen het ontdekken en patchen van kwetsbaarheden te verkorten. Google voerde met Project Mainline al in 2019 een vergelijkbaar systeem in voor Android, waarbij kritieke modules via de Play Store worden bijgewerkt los van de reguliere OS-cyclus. Apple's aanpak gaat verder doordat de patches buiten elke app-store om worden geleverd en dieper in het systeem ingrijpen. Analisten verwachten dat het bedrijf dit systeem de komende jaren uitbreidt naar meer systeemcomponenten, wat de algehele beveiliging van het iOS-ecosysteem structureel verbetert.

Advies voor gebruikers

Beveiligingsexperts adviseren alle gebruikers van iPhone, iPad en Mac te controleren of versie 26.3.1(a) geinstalleerd is. Wie een ouder apparaat gebruikt waarop iOS 15 of iOS 16 draait, wordt dringend verzocht te updaten naar respectievelijk iOS 15.8.7 of iOS 16.7.15. De CVE-2026-20643-kwetsbaarheid is weliswaar niet aangemerkt als actief misbruikt, maar de lage drempel voor exploitatie, waarbij louter het bezoeken van een geprepareerde webpagina volstaat, maakt snelle actie toch verstandig.