Appleは「iOS 26.3.1(a)」を現地時間3月17日に提供開始。適用することで、Webkitの不具合が修正される。これは通常のソフトウェアアップデートとは別に、追加的なセキュリティ保護を提供する「バックグラウンドセキュリティ改善」(BSI:Background Security Improvements)の最初のバージョンとなる。

  • iOS 26.3.1(a)

    iOS 26.3.1(a)

今回のBSIではiOS 26.3.1(a)のほかに、「iPadOS 26.3.1(a)」、「macOS 26.3.1(a)」、「macOS 26.3.2(a)」も同日に提供開始。対象のiPhoneやiPad、Macで適用できる。

セキュリティアップデートの内容はいずれも共通で、CVE番号1件(CVE-2026-20643)に対処。具体的には、悪意を持って作成されたWebコンテンツを処理すると、同一生成元ポリシーを迂回される可能性がある問題に対応する。

  • 「バックグラウンドセキュリティ改善」(BSI)の設定画面

    「バックグラウンドセキュリティ改善」(BSI)の設定画面

BSIは、SafariブラウザやWebKitフレームワークのスタック、その他のシステムライブラリなどのコンポーネントに対して、小規模なセキュリティリリースを配信。通常のソフトウェアアップデートとは別に、これらのシステムライブラリを軽量で継続的なセキュリティパッチで保護する仕組みだ。「iOS 26.1/iPadOS 26.1/macOS 26.1以降の将来のリリースでサポートされ、有効になる」としていたもので、今回最初のバージョンとして前出のセキュリティアップデートがリリースされたかたちだ。

なお、“適合性の問題”が発生した場合はBSIが一時的に削除され、将来のソフトウェアアップデートであらためて強化版が提供されることがあるという。

  • BSI適用後のiOSバージョンを設定画面で確認したところ

    BSI適用後のiOSバージョンを設定画面で確認したところ

BSIの設定は、iPhone/iPadの「設定」AppやMacの「システム設定」に入り、「プライバシーとセキュリティ」の中のほぼ最下層までいくと見つけられる。「自動インストール」がオンになっていれば自動適用されるが、この設定をオフにすると、これらのセキュリティ改善は次回のソフトウェアアップデートに含まれるまでデバイスに配信されない。

既にBSIが適用済みの状態で、これを削除する場合は、OSがベースラインのソフトウェアアップデート(例:iOS 26.3)に戻り、BSIが適用されない状態になるという。

  • iPadOS 26.3.1(a)の配信も確認。ベースラインのソフトウェアアップデートが未適用状態だったためか、iPadOS 26.3.1のアップデート内容が表示されている

    iPadOS 26.3.1(a)の配信も確認。ベースラインのソフトウェアアップデートが未適用状態だったためか、iPadOS 26.3.1のアップデート内容が表示されている