Apple schließt kritische Sicherheitslücken Apple schließt über 50 Schwachstellen mit iOS 26.1

Apple hat mit iOS 26.1 mehr als 50 Sicherheitslücken geschlossen. Mehrere davon gelten als kritisch. Betroffen sind zentrale Komponenten wie Kernel, WebKit und Accountschutz.

Mit dem Update auf iOS 26.1 beseitigt Apple insgesamt 53 dokumentierte Schwachstellen. Besonders kritisch waren Lücken, die es lokalen oder remote angreifenden Apps ermöglichten, sensible Nutzerdaten abzugreifen, Screenshots ohne Zustimmung zu erstellen oder sogar Eingaben über manipulierte Webseiten mitzulesen. Betroffen waren unter anderem der Kernel, die WebKit-Rendering-Engine, Safari und mehrere systemnahe Dienste wie das Dateisystem, die Kontakte-App oder der „Wo ist?“-Dienst.

Im Kernel wurde ein Fehler mit der CVE-2025-43398 behoben, der zur Systeminstabilität führen konnte, ausgelöst durch fehlerhafte Speicherverwaltung in Kombination mit manipulierten Apps. WebKit allein war mit über 15 Lücken betroffen. Darunter mehrere sogenannte Use-after-Free-Fehler, die Speicherbereiche freigaben, aber weiterverwendeten. Das stellt ein klassisches Einfallstor für Codeausführung bei präparierten Webseiten.

Aktiv ausgenutzte Sicherheitslücke

Notfallupdate für iOS, iPadOS und macOS

Browser schnellstmöglich updaten!

Zero-Day-Schwachstelle in Chrome aktiv ausgenutzt

Screenshot ohne Freigabe: Apple Account und Diebstahlschutz betroffen

Als besonders sicherheitskritisch stufen Experten die Schwachstelle CVE-2025-43455 ein: Eine lokal installierte, manipulierte App konnte über eingebettete Views Screenshots sensibler Account-Informationen anfertigen. Dies hätte in Kombination mit Social-Engineering oder Malware-Ketten zur vollständigen Übernahme von Apple-Konten führen können.

Auch der im vergangenen Jahr eingeführte „Stolen Device Protection“-Mechanismus (Diebstahlschutz) war angreifbar: CVE-2025-43422 ermöglichte es physisch zugreifenden Angreifern unter bestimmten Bedingungen, die Schutzfunktion vollständig zu deaktivieren. Das stellt einen klaren Bruch im Sicherheitsversprechen von Apple für Geräte ab iPhone 11 dar.

Safari mit UI-Spoofing und Tastatur-Logging

Drei Schwachstellen im Safari-Browser, unter anderem CVE-2025-43503 und CVE-2025-43493, ermöglichten UI-Spoofing, also die Fälschung von Anzeigeelementen wie der Adressleiste. Das ist ein hohes Risiko bei Phishing-Versuchen. Daneben bestand ein Exploit-Pfad, der durch manipulierte Webseiten Tastatureingaben unbemerkt mitloggen konnte (CVE-2025-43495). Dieses Angriffsszenario ist besonders kritisch für Passworteingaben und Multi-Faktor-Authentifizierung (MFA) ist.

Beta von iOS 26.2 bringt neue Steuerungsfunktionen und KI-Features

Parallel zur Sicherheitsaktualisierung hat Apple die erste Beta von iOS 26.2 veröffentlicht. Neben Verbesserungen beim Liquid-Glass-UI bringt das Update neue Funktionen zur Echtzeitübersetzung mit zusätzlichen Sprachen.Die neuen Sprachen sind: Japanisch, Koreanisch, Chinesisch, Italienisch. Außerdem erweitert Apple mit der Beta-Version auch die Sicherheitswarnfunktionen. Kapitelmarken in Podcasts werden künftig automatisiert per Künstlicher Intelligenz (KI) gesetzt.

Geräte und Update-Empfehlung

Das Update steht für alle Geräte ab iPhone 11, iPad Air (dritte Generation), iPad (achte Generation) und neuere bereit. Apple empfiehlt eine sofortige Installation, insbesondere auf produktiv genutzten Geräten. Der Download erfolgt über die Systemeinstellungen unter „Allgemein > Softwareupdate“. Automatische Updates sollten aktiviert bleiben, da bereits im Dezember mit der Finalversion von iOS 26.2 zu rechnen ist.

Über 30 Sicherheitslücken in iOS 18.6 und iPadOS 18.6 geschlossen

Apple iOS 18.6 schließt kritische Schwachstellen

Eine Übersicht über die CVE-IDs zu den betroffenen Schwachstellen:

Core-Media-Framework

Apple schließt aktiv ausgenutzte Zero-Day-Schwachstelle

(ID:50617022)