Apple'dan Kritik Güvenlik Hamlesi: WebKit Açığı ve "Sessiz" Güncelleme Dönemi

Apple, iPhone, iPad ve Mac kullanıcılarını hedef alan karmaşık web tabanlı saldırılara karşı acil bir güvenlik güncellemesi yayınladı. 17 Mart 2026 tarihinde sunulan bu yamalar, tarayıcı güvenliğinin temelini sarsabilecek kritik bir WebKit zafiyetini gideriyor.

Zafiyetin Analizi: CVE-2026–20643

CVE-2026–20643 (WebKit Bugzilla ID: 306050) olarak takip edilen bu hata, Apple'ın Safari ve diğer pek çok uygulamasına güç veren WebKit motorunun Navigation API bileşeninde yer alıyor. Güvenlik araştırmacısı Thomas Espach tarafından keşfedilen bu zafiyet, kötü niyetli web içeriklerinin "Same-Origin Policy" (SOP) korumasını aşmasına neden olabiliyor.

Same-Origin Policy (SOP) Neden Önemli? SOP, bir web sitesinin başka bir alan adına (domain) ait verilere erişmesini engelleyen kritik bir bariyerdir. Bu korumanın aşılması durumunda saldırganlar şunları yapabilir:

  • Farklı sekmelerde açık olan sitelerdeki verilere erişim,
  • Oturum çerezlerini (cookies) ve kimlik doğrulama token'larını çalma,
  • Kullanıcı adına yetkisiz işlemler gerçekleştirme.

Örneğin; kötü niyetli bir web sitesi, kullanıcının o sırada açık olan bankacılık veya e-posta oturumuyla gizlice etkileşime girerek hassas verileri sızdırabilir.

Yeni Dağıtım Mekanizması: Background Security Improvements

Bu güncellemeyi geleneksel yamalardan ayıran en büyük fark, Apple'ın ilk kez aktif olarak kullandığı "Background Security Improvements" (Arka Plan Güvenlik İyileştirmeleri) sistemiyle sunulmasıdır.

Bu yeni sistemin özellikleri şunlardır:

  • Sessiz Kurulum: Tam bir işletim sistemi güncellemesine gerek kalmadan arka planda yüklenir.
  • Yeniden Başlatma Gerekmez: Cihazın kapatılıp açılmasına gerek kalmadan yama aktif olur.
  • Hızlı Müdahale: Safari, WebKit ve sistem kütüphaneleri gibi kritik bileşenlerdeki risklere anında müdahale edilmesini sağlar.
  • Geri Alma (Rollback) Yeteneği: Eğer bir yama uyumluluk sorunu çıkarırsa, Apple bu iyileştirmeyi otomatik olarak kaldırıp cihazı önceki kararlı haline döndürebilir.

Etkilenen Sürümler ve Kontrol

Zafiyet şu sürümleri etkilemektedir: iOS 26.3.1, iPadOS 26.3.1, macOS 26.3.1 ve 26.3.2. Apple, sorunu iyileştirilmiş giriş doğrulama (input validation) kontrolleriyle şu sürümlerde çözmüştür:

  • iOS 26.3.1 (a)
  • iPadOS 26.3.1 (a)
  • macOS 26.3.1 (a) ve 26.3.2 (a)

Kullanıcılar, bu korumanın devrede olduğunu doğrulamak için Ayarlar > Gizlilik ve Güvenlik > Background Security Improvements menüsünü kontrol edebilirler. "Otomatik Yükle" seçeneğinin açık tutulması, cihazın gelecekteki tehditlere karşı da korunmasını sağlar.

None

Önemli Uyarı: Güncellemeyi Kaldırmak

Apple, bu arka plan iyileştirmelerinin manuel olarak kaldırılmasının cihazı savunmasız bırakacağı konusunda uyarıyor. İyileştirme kaldırıldığında, cihaz sadece o yamayı değil, o ana kadar gelen tüm arka plan güvenlik katmanlarını silerek ana sürüme (baseline) geri döner

Apple'ın bu hamlesi, siber saldırganlara karşı "zaman avantajını" daraltan proaktif bir adımdır. Özellikle tüm üçüncü parti tarayıcıların ve uygulama içi web görünümlerinin WebKit kullandığı düşünüldüğünde, bu hızlı yama sistemi kullanıcı güvenliği için hayati önem taşımaktadır.