Pembaruan Darurat Apple: Celah Keamanan WebKit (CVE-2026-20643) Ditambal Lewat Fitur 'Background Security Improvements'
Baca dalam 60 detik
- Apple baru saja merilis pembaruan keamanan untuk menambal kerentanan lintas-sumber (CVE-2026-20643) pada mesin peramban WebKit yang memengaruhi iOS, iPadOS, dan macOS.
- Celah ini sangat berbahaya karena memungkinkan situs web dengan kode berbahaya untuk melewati Same-Origin Policy (SOP) dan berpotensi mengakses data dari situs web lain yang sedang dibuka oleh pengguna.
- Pembaruan ini merupakan debut dari fitur "Background Security Improvements", yang memungkinkan Apple untuk mengirimkan patch keamanan ringan secara cepat tanpa mengharuskan pengguna mengunduh pembaruan OS versi penuh.
Apple kembali merilis tambalan keamanan darurat untuk mengatasi kerentanan pada mesin peramban WebKit yang memengaruhi perangkat iPhone, iPad, dan Mac. Menariknya, pembaruan ini menandai debut publik dari sistem pengiriman Background Security Improvements, sebuah mekanisme baru yang memungkinkan Apple mendistribusikan perbaikan keamanan ringan tanpa mengharuskan pengguna melakukan pembaruan sistem operasi (OS) secara penuh.
Kerentanan yang dilacak sebagai CVE-2026-20643 ini berakar pada masalah lintas-sumber (cross-origin) di dalam Navigation API WebKit. Jika dieksploitasi, celah ini memungkinkan situs web yang disusupi kode berbahaya untuk melewati Same-Origin Policy (SOP)βsalah satu aturan keamanan paling fundamental di dunia peramban web. SOP dirancang secara khusus untuk mencegah sebuah situs web mengakses atau mencuri data pribadi, kuki (cookies), dan sesi aktif dari situs web lain yang sedang dibuka oleh pengguna. Apple menyatakan bahwa masalah ini telah diatasi dengan meningkatkan validasi input pada pembaruan terbaru.
Peluncuran Background Security Improvements ini merupakan evolusi dari fitur Rapid Security Responses yang sebelumnya diperkenalkan Apple. Strategi ini sangat krusial untuk komponen berisiko tinggi seperti WebKit yang terus-menerus memproses konten web tak terpercaya dari internet. Dengan mekanisme ini, Apple dapat merespons temuan celah keamanan (seperti yang dilaporkan oleh peneliti keamanan Thomas Espach) secara instan. Pengguna disarankan untuk memastikan bahwa opsi "Automatically Install Background Security Improvements" telah diaktifkan di menu pengaturan Privacy & Security pada perangkat mereka.
- Vektor Ancaman: Bypass Same-Origin Policy yang berpotensi memicu pencurian data lintas situs melalui konten web berbahaya.
- Perangkat Terdampak: Pembaruan berlaku untuk iOS 26.3.1, iPadOS 26.3.1, macOS 26.3.1, dan macOS 26.3.2.
- Metode Pengiriman: Dikirimkan di luar siklus pembaruan OS standar melalui sistem Background Security Improvements.
Untuk memberikan pemahaman mengenai strategi penambalan Apple yang baru ini, berikut adalah tabel perbandingan antara pembaruan sistem operasi konvensional dan sistem pembaruan latar belakang.
| Parameter Pembaruan | Pembaruan OS Konvensional | Background Security Improvements |
|---|---|---|
| Ukuran & Waktu Unduh | Masif (Gigabita), membutuhkan waktu unduh dan instalasi yang lama. | Sangat ringan, diunduh dengan cepat di latar belakang tanpa mengganggu aktivitas. |
| Dampak pada Perangkat | Memerlukan proses restart penuh yang cukup memakan waktu. | Dalam beberapa kasus hanya membutuhkan pemuatan ulang aplikasi (relaunch Safari), atau restart kilat. |
| Fokus Konten | Fitur baru, perbaikan bug sistem secara keseluruhan, dan antarmuka. | Fokus eksklusif pada penambalan kerentanan kritis (Safari, WebKit, pustaka sistem). |
Ke depannya, meskipun Apple belum mengonfirmasi apakah kerentanan CVE-2026-20643 ini telah dieksploitasi secara aktif oleh peretas di dunia nyata, keputusan mereka untuk meluncurkan patch melalui mekanisme darurat ini mengindikasikan tingkat urgensi yang tinggi. Pengguna di seluruh ekosistem Apple sangat dianjurkan untuk tidak menunda penerapan instalasi keamanan ini demi melindungi integritas data perambanan harian mereka.
