Vulnerabilidades críticas en Apple 2026
Vulnerabilidad crítica - 18/03
Introducción
CVE-2026-20643 es un fallo de seguridad descubierto en el motor WebKit, la tecnología que utilizan Safari y muchas aplicaciones en dispositivos de Apple para renderizar contenido web. Se trata de una vulnerabilidad de tipo cross-origin, lo que significa que afecta a la política de mismo origen (Same Origin Policy), un mecanismo que impide que una página web acceda a los datos de otra sin autorización. En condiciones normales, esta política protege información sensible como cookies, sesiones de usuario o datos almacenados en el navegador. Sin embargo, debido a un error en la implementación de la Navigation API dentro de WebKit, un atacante podría diseñar contenido web malicioso capaz de eludir estas restricciones. Si un usuario accede a una página manipulada, el atacante podría potencialmente acceder a información de otros sitios abiertos en el navegador o interactuar con ellos de forma indebida.
Análisis
CVE-2026-20643 - CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N - 8,1
CVE-2026-20643 se basa en un fallo en la forma en que el motor WebKit gestiona los cambios de navegación entre páginas weba través de la Navigation API. Para comprender su funcionamiento, es necesario partir de la Same Origin Policy, una política fundamental que garantiza que cada sitio web opere de manera aislada, impidiendo que uno acceda a los datos de otro sin permiso.
Sin embargo, en este caso, el problema surge porque WebKit no valida correctamente el origen de ciertos contenidos durante transiciones específicas de navegación. Cuando una página web provoca cambios dinámicos, como redirecciones, manipulación del historial o el uso de iframes el navegador debería comprobar rigurosamente a qué origen pertenece cada recurso. No obstante, debido a este fallo, si esa verificación se realiza de forma incorrecta, genera una confusión de contextos.
A partir de esta debilidad, un atacante puede construir una página web especialmente diseñada que aproveche esos estados inconsistentes. Así, cuando un usuario visita dicha página, el navegador puede llegar a interpretar que el contenido malicioso pertenece al mismo origen que otra página legítima que el usuario tenga abierta. Como consecuencia, se rompe el aislamiento entre ambos contextos, lo que permite que el sitio malicioso acceda a información que, en condiciones normales, debería estar protegida.
De este modo, el ataque no requiere la instalación de software adicional ni la explotación de vulnerabilidades complejas en el sistema, sino simplemente que la víctima acceda a un sitio web manipulado. Una vez conseguido ese acceso indebido, el atacante podría leer datos sensibles, como cookies o tokens de sesión, o incluso interactuar con otras páginas en nombre del usuario, comprometiendo así su privacidad y seguridad.
Versiones afectadas
iOS 26.3.1, iPadOS 26.3.1, macOS 26.3.1 y macOS 26.3.2.
Recomendaciones
Activar las actualizaciones automáticas e instalar los parches para esta vulnerabilidad.
Workarounds
No hay workarounds para esta vulnerabilidad.