Apple veröffentlicht dringende Sicherheitsupdates, um eine Zero-Day-Schwachstelle zu beheben, die bei Cyberangriffen ausgenutzt wird

Apple hat am Mittwoch mehrere Notfall-Sicherheitsupdates veröffentlicht, um eine Zero-Day-Schwachstelle zu beheben, die bereits bei fortgeschrittenen Cyberangriffen auf seine Geräte ausgenutzt worden war.

Laut Mitteilungen des Apple-Supportteams wurde der Patch für iOS, iPadOS, macOS Tahoe, tvOS, watchOS und visionOS veröffentlicht. Das Unternehmen erklärte, die Sicherheitslücke mit der Bezeichnung CVE-2026-20700 könne Angreifern bei erfolgreicher Ausnutzung ermöglichen, Schadcode auf betroffenen Geräten auszuführen.

Googles Bedrohungsanalyse ergab, dass CVE-2026-20700 zu Speicherfehlern in dyld, Apples Dynamic Link Editor, führt. Die Gruppe von Cybersicherheitsforschern warnte, dass Hacker, die in den Gerätespeicher schreiben können, diese Schwachstelle ausnutzen könnten, um beliebige Befehle auszuführen. Apples internes Sicherheitsteam arbeitete während der Untersuchung mit den Sicherheitsanalysten zusammen.

„Apple ist sich eines Berichts bewusst, demzufolge diese Schwachstelle möglicherweise bei einem äußerst ausgeklügelten Angriff gegen bestimmte Zielpersonen auf iOS-Versionen vor iOS 26 ausgenutzt wurde“, so das Unternehmen in einer Sicherheitswarnung.

Laut einem Google-Bericht wurden durch eine Zero-Day-Schwachstelle bereits gezielte Angriffe ausgeführt

Laut Apples Patchnotes war der Zero-Day-Bug Teil einer Gruppe von Sicherheitslücken, die bereits dent und behoben worden waren. Zwei verwandte Schwachstellen, CVE-2025-14174 und CVE-2025-43529, wurden Ende Dezember behoben.

Zu dieser Zeit Cryptopolitan berichteten , dass diese früheren Sicherheitslücken WebKit betrafen, die Engine, die Apples Safari-Browser und alle Drittanbieter-Browser auf iOS und iPadOS antreibt.

Die Sicherheitslücke CVE-2025-14174 betraf einen Speicherzugriffsfehler außerhalb der zulässigen Speichergrenzen in der Metal-Rendererkomponente von ANGLE. Metal ist Apples Framework für hardwarebeschleunigte Grafik und Berechnungen.

CVE-2025-43529 hingegen beruhte auf einer Use-After-Free-Schwachstelle in WebKit. Cyberkriminelle konnten diese Schwachstelle durch speziell präparierte Webinhalte ausnutzen, die die Ausführung von Code auf dem Gerät des Opfers ermöglichten.

Ein kritisches Problem betraf das CoreMedia-Framework, das für die Audio- und Videoverarbeitung zuständig ist. Hacker konnten die Kontrolle über das CoreMedia-System eines Nutzers erlangen, indem sie manipulierte Dateien an die betroffenen iPhones sendeten. Bei der Verarbeitung dieser Dateien konnten sie Denial-of-Service-Angriffe auslösen oder private Daten aus dem Telefonspeicher offenlegen.

Die Schwachstellen wurden höchstwahrscheinlich in gezielten Spyware-Kampagnen gegen Aktivisten, Journalisten oder Regierungsbeamte ausgenutzt, wie Googles Analyse bestätigte.

Apple listet in seinen Notizen die für Updates berechtigten Geräte auf

Apples neueste Sicherheitsupdates gelten für aktuelle und ältere Geräte auf verschiedenen Plattformen. Das Unternehmen veröffentlichte iOS 26.3 und iPadOS 26.3 für das iPhone 11 und neuere Modelle sowie für mehrere iPad-Generationen.

Mac-Computer mit macOS Tahoe erhielten das Update auf Version 26.3, während Apple TV-Modelle tvOS 26.3 erhielten. Apple Watch Series 6 und neuere Geräte erhielten watchOS 26.3.

Apple veröffentlichte außerdem visionOS 26.3-Updates für alle Vision Pro-Headsets, während ältere Geräte Patches durch Updates wie iOS 18.7.5, macOS Sequoia 15.7.4, macOS Sonoma 14.8.4 und Safari 26.3 erhielten.

Apple gab an, dass das Problem durch ein verbessertes Speichermanagement in der neuesten iOS-Version behoben wurde.

Weitere behobene Sicherheitslücken wurden in Kernsystemen wie Game Center, ImageIO, dem Betriebssystemkernel sowie Apples Live Caption, Photos, Spotlight, Shortcuts und StoreKit behoben.

Siri-Funktionsaktualisierungen nach fehlgeschlagenen Tests verzögert

Die Sicherheitsupdates erscheinen zu einem Zeitpunkt, an dem Apple Schwierigkeiten hat, seinen Sprachassistenten Siri zu verbessern. Der iPhone-Hersteller hatte geplant, die neuen Siri-Funktionen im kommenden Software-Update im März einzuführen.

Aufgrund von Testproblemen musste Apple den Zeitplan jedoch überdenken, wie mit der Angelegenheit vertraute Personen mitteilten. Einige Funktionen werden voraussichtlich erst in späteren Updates verfügbar sein.

Apple plante ursprünglich, die erweiterten Siri-Funktionen in iOS 26.4 zu integrieren. Obwohl der Veröffentlichungstermin im März unverändert bleibt, werden einige Funktionen nicht enthalten sein. Die Entwickler testen die neuen Features derzeit in iOS 26.5, das voraussichtlich im Mai erscheint. Weitere Aktualisierungen könnten sich bis zu iOS 27 im September verzögern.

Bei der ersten Präsentation im Juni 2024 wurde gezeigt, wie Siri Bildschirminhalte analysiert und eine präzisere Sprachsteuerung sowohl in Apple- als auch in Drittanbieter-Apps ermöglicht. Apple hatte ursprünglich geplant, diese Funktionen Anfang 2025 bereitzustellen, diesen Zeitplan jedoch später auf ein unbestimmtes Datum im Jahr 2026 verschoben.

Möchten Sie Ihr Projekt den führenden Köpfen der Krypto-Szene präsentieren? Stellen Sie es in unserem nächsten Branchenbericht vor, in dem Daten auf Wirkung treffen.