SchwachstellenCloud-Sicherheit

Apple schließt kritische WebKit-Sicherheitslücke auf iOS und macOS

Apple schließt kritische WebKit-Sicherheitslücke auf iOS und macOS
Zusammenfassung

Apple hat eine kritische Sicherheitslücke in WebKit behoben, die iOS- und macOS-Geräte gefährdet hat. Die Schwachstelle CVE-2026-20643 ermöglichte es Angreifern, die Same-Origin-Policy zu umgehen – einen fundamentalen Schutzmechanismus von Webbrowsern, der verhindert, dass Websites auf Daten anderer Seiten zugreifen. Durch speziell manipulierte Webinhalte hätten Cyberkriminelle so potenziell auf sensible Daten von Nutzern zugreifen können. Das Update betrifft alle aktuellen Apple-Systeme including iOS 26.3.1, iPadOS und macOS. Für deutsche Nutzer ist dies von erheblicher Bedeutung, da die Lücke Millionen von iPhone-, iPad- und Mac-Besitzern betraf. Besonders für Unternehmen und Behörden in Deutschland, die auf Apple-Geräte setzen, hätte ein erfolgreicher Angriff erhebliche Konsequenzen für den Schutz vertraulicher Geschäftsinformationen oder Verwaltungsdaten bedeuten können. Apple hat die Behebung über sein neues „Background Security Improvements"-System eingespielt, das automatische Sicherheitspatches ohne große Systemupdates ermöglicht – ein wichtiger Schritt für schnellere Sicherheitsreaktionen. Nutzer sollten überprüfen, dass diese automatischen Verbesserungen aktiviert sind.

Das kalifornische Technologieunternehmen Apple hat am Dienstag eine kritische Sicherheitslücke im WebKit-Framework geschlossen. Die als CVE-2026-20643 registrierte Schwachstelle ermöglichte es Cyberkriminellen, die Same-Origin-Policy zu umgehen. Dabei handelt es sich um eine zentrale Sicherheitsmaßnahme, die verhindert, dass Websites unberechtigt auf Daten anderer Seiten zugreifen. Die Lücke befand sich in der Navigation API und konnte durch manipulierte Web-Inhalte ausgenutzt werden.

Betroffen waren die Versionen iOS 26.3.1, iPadOS 26.3.1 sowie macOS 26.3.1 und 26.3.2. Apple behob das Problem durch verbesserte Input-Validierung in den entsprechenden Patch-Versionen. Sicherheitsforscher Thomas Espach wird für die Entdeckung der Sicherheitslücke gewürdigt.

Neuartig ist Apples Ansatz mit den sogenannten “Background Security Improvements”. Statt Sicherheits-Updates nur in großen System-Updates zu verteilen, können diese künftig als kleinere, eigenständige Patches eingespielt werden. Das System ist vergleichbar mit “Rapid Security Response”, das Apple 2022 mit iOS 16 einführte. Für deutsche Unternehmen und Nutzer ist das relevant: Viele Sicherheitsverletzungen entstehen, weil Menschen ihre Geräte nicht updaten. Mit kleineren, regelmäßigen Patches könnten Sicherheitslücken schneller geschlossen werden.

Die neue Funktion wird ab iOS 26.1, iPadOS 26.1 und macOS 26 unterstützt und ist standardmäßig aktiviert. Nutzer können diese in den Datenschutz- und Sicherheitseinstellungen kontrollieren. Wichtig: Wer die automatische Installation deaktiviert, muss auf das nächste große Software-Update warten.

Der aktuelle Patch folgt auf weitere kritische Fälle. Vor über einem Monat schließt Apple eine aktivell ausgenutzte Zero-Day-Lücke (CVE-2026-20700), die Arbitrary Code Execution ermöglichte. Zuletzt patched das Unternehmen vier Schwachstellen (CVE-2023-43010, CVE-2023-43000, CVE-2023-41974 und CVE-2024-23222), die bereits im Coruna-Exploit-Kit verwendet wurden.

Für Nutzer gilt: Die automatische Installation von Background Security Improvements sollte aktiviert bleiben, um maximal geschützt zu sein.

Ähnliche Artikel