Nach Angaben von Apple beheben die nachgereichten Patches mehrere iOS-Sicherheitsprobleme, die über verschiedene Exploit-Ketten angegriffen wurden. Viele dieser Ketten kamen in Zero-Day-Angriffen zum Einsatz, mit denen sich Angreifer Kernel-Rechte verschaffen oder Schadcode aus der Ferne ausführen wollten. Ein Teil der nun geschlossenen Lücken war bei neueren iOS-Geräten bereits ab September 2023 korrigiert worden.

Die Liste der betroffenen Geräte ist umfangreich und umfasst eine Reihe älterer Modelle, die unter iOS 15.8.7/16.7.15 beziehungsweise iPadOS 15.8.7/16.7.15 laufen. Mit dem Update erhalten auch jene Geräte die Korrektur, die nicht auf die aktuelle iOS-Version aktualisiert werden können.

Forscher der Google Threat Intelligence Group (GTIG) hatten zuvor offengelegt, dass das Coruna-Exploit-Kit seit Februar 2025 von mehreren Bedrohungsgruppen genutzt wird. Dazu zählen eine mutmaßlich vom russischen Staat unterstützte Gruppe (UNC6353), ein Kunde eines Überwachungsanbieters sowie ein finanziell motivierter chinesischer Akteur (UNC6691).

UNC6691 wurde dabei beobachtet, wie die Gruppe das Exploit-Kit auf gefälschten Glücksspiel- und Krypto-Websites einsetzte, um Schadsoftware auszuliefern, die Kryptowährungs-Wallets von den Geräten der Opfer stahl.

Die US-Cybersicherheitsbehörde CISA nahm drei der 23 von Coruna angegriffenen Schwachstellen in ihren Katalog bekannter ausgenutzter Schwachstellen auf, darunter die WebKit-Lücke CVE-2023-43010, für die Apple in dieser Woche den Patch zurückportierte. CISA verpflichtete die zivilen Bundesbehörden (Federal Civilian Executive Branch), ihre iOS-Geräte gemäß der Binding Operational Directive (BOD) 22-01 bis zum 26. März abzusichern.

“Wenden Sie die Gegenmaßnahmen nach den Vorgaben des Herstellers an, befolgen Sie die geltenden BOD-22-01-Vorgaben für Cloud-Dienste oder stellen Sie die Nutzung des Produkts ein, falls keine Gegenmaßnahmen verfügbar sind”, warnte CISA. Solche Schwachstellen seien häufige Angriffswege für böswillige Akteure und stellten ein erhebliches Risiko für die Behörden dar.

Bereits seit Jahresbeginn hatte Apple zudem eine Zero-Day-Schwachstelle (CVE-2026-20700) behoben, die in einem nach eigener Darstellung “äußerst raffinierten Angriff” gegen gezielt ausgewählte Personen ausgenutzt wurde und Angreifern die Ausführung beliebigen Codes auf kompromittierten Geräten erlaubte. Apple zufolge meldete Googles Threat Analysis Group diese Lücke, machte aber keine Angaben dazu, wie sie ausgenutzt wurde.