CVE-2026-20643 és un error de seguretat descobert en el motor WebKit, la tecnologia que utilitzen Safari i moltes aplicacions en dispositius d’Apple per a renderitzar contingut web. Es tracta d’una vulnerabilitat de tipus cross-origin; això és, que afecta la política del mateix origen (Same Origin Policy): un mecanisme que impedix que una pàgina web accedisca a les dades d’una altra sense autorització. En condicions normals, esta política protegix informació crítica com ara galetes (cookies), sessions d’usuari o dades emmagatzemades en el navegador. No obstant això, a causa d’un error en la implementació de la Navigation API dins de WebKit, un atacant podria dissenyar contingut web maliciós capaç d’eludir estes restriccions. Si un usuari accedix a una pàgina manipulada, l’atacant podria potencialment accedir a informació d’altres llocs oberts en el navegador o interactuar-hi de manera indeguda.
Anàlisi
CVE-2026-20643 es basa en un error en la forma en què el motor WebKit gestiona els canvis de navegació entre pàgines web a través de la Navigation API. Per a comprendre el seu funcionament, és necessari partir de la Same Origin Policy, una política fonamental que garantix que cada lloc web opere de manera aïllada, fet que impedix que u accedisca a les dades d’un altre sense permís. Té un CVSS:3.0 de 8,1.
No obstant això, en este cas, el problema sorgix perquè WebKit no valida correctament l’origen d’alguns continguts durant transicions específiques de navegació. Quan una pàgina web provoca canvis dinàmics, com redireccions, manipulació de l’historial o l’ús de marcs incrustats (iframes) el navegador hauria de comprovar rigorosament l’origen al qual pertany cada recurs. No obstant això, a causa d’este error, si eixa verificació es fa de manera incorrecta, genera una confusió de contextos.
A partir d’esta debilitat, un atacant pot construir una pàgina web especialment dissenyada que aprofite eixos estats inconsistents. Així, quan un usuari visita esta pàgina, el navegador pot arribar a interpretar que el contingut maliciós pertany al mateix origen que una altra pàgina legítima que l’usuari tinga oberta. Com a conseqüència, es trenca l’aïllament entre els dos contextos, la qual cosa permet que el lloc maliciós accedisca a informació que, en condicions normals, hauria d’estar protegida.
D’esta manera, l’atac no requerix la instal·lació de programari addicional ni l’explotació de vulnerabilitats complexes en el sistema, sinó simplement que la víctima accedisca a un lloc web manipulat. Una vegada aconseguit eixe accés indegut, l’atacant podria llegir dades crítiques, com ara galetes o criptovalors (tokens) de sessió, o fins i tot interactuar amb altres pàgines en nom de l’usuari, de manera que compromet la seua privacitat i seguretat.
Versions afectades
iOS 26.3.1, iPadOS 26.3.1, macOS 26.3.1 i macOS 26.3.2.
Recomanacions
Activar les actualitzacions automàtiques i instal·lar les actualitzacions per a esta vulnerabilitat.
Referències