Apple schließt kritische WebKit-Lücke mit stillem Update

Apple hat diese Woche eine kritische Sicherheitslücke in der WebKit-Browser-Engine per Hintergrund-Update geschlossen. Die Schwachstelle betrifft iPhones, iPads und Macs und hätte Angreifern den Zugriff auf sensible Nutzerdaten ermöglicht.

Das als "Background Security Improvement" verteilte Update wird für die meisten Nutzer automatisch installiert – ganz ohne Neustart. Apple nutzt damit erstmals öffentlichkeitswirksam sein neues System für schnelle und unauffällige Sicherheitskorrekturen.

Angesichts kritischer Sicherheitslücken wird der Schutz sensibler Daten auf dem Smartphone immer wichtiger. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie Ihr Gerät mit fünf einfachen Maßnahmen effektiv vor Hackerangriffen und Datenklau schützen. Kostenlosen Sicherheits-Ratgeber herunterladen

Was die Lücke CVE-2026-20643 gefährlich macht

Die geschlossene Lücke in der WebKit-Navigation-API hätte die fundamentale "Same-Origin Policy" aushebeln können. Diese Sicherheitsregel isoliert normalerweise die Daten verschiedener Webseiten im Browser voneinander.

Ein erfolgreicher Angriff hätte es einer bösartigen Webseite ermöglichen können, Daten aus anderen geöffneten Tabs auszulesen. Dazu zählen Anmeldedaten, Sitzungs-Cookies oder andere persönliche Informationen. Ausgenutzt werden konnte die Lücke nur, wenn Nutzer eine präparierte Webseite besuchten, etwa über einen Phishing-Link.

Sicherheitsforscher Thomas Espach entdeckte und meldete die Schwachstelle. Bisher gibt es keine Berichte über aktive Angriffe.

So funktioniert Apples neues Patch-System

Die "Background Security Improvements" sind eine Weiterentwicklung der früheren "Rapid Security Responses". Sie erlauben gezielte Updates für einzelne Systemkomponenten wie WebKit, ohne ein komplettes Betriebssystem-Update.

Die Patches sind für iOS 26.3.1, iPadOS 26.3.1 sowie macOS 26.3.1 und 26.3.2 verfügbar. Nach der Installation erscheint ein Buchstabe in der Versionsnummer, etwa "iOS 26.3.1 (a)". Das Ziel: Kritische Lücken schließen, bevor Angreifer sie massenhaft ausnutzen können – und das ohne Störung für den Nutzer.

Müssen Nutzer jetzt aktiv werden?

Für die meisten Nutzer ist kein Handeln nötig, sofern automatische Updates aktiviert sind. Wer sichergehen will, kann die Einstellung unter "Softwareupdate" bei iOS/iPadOS oder "Datenschutz & Sicherheit" auf dem Mac prüfen.

Experten raten dringend, die Automatik eingeschaltet zu lassen. Nutzer mit deaktivierten Updates erhalten den Patch erst mit dem nächsten großen Software-Update und bleiben länger verwundbar. Das Deinstallieren eines Patches – zwar möglich bei Kompatibilitätsproblemen – setzt das Gerät auf den alten, unsicheren Stand zurück.

Sicherheits-Updates wie WebKit-Patches sind nur ein Teil der Smartphone-Sicherheit, den viele Nutzer unterschätzen. Erfahren Sie in diesem kompakten Leitfaden, welche weiteren Schritte Experten empfehlen, um Lücken bei WhatsApp, Banking und Co. zuverlässig zu schließen. Diese 5 Maßnahmen machen Ihr Smartphone sicherer

Immer schneller im Wettlauf gegen Hacker

Apples Schritt zu stillen Hintergrund-Updates ist eine direkte Antwort auf die Cybersecurity-Realität. Die Zeit zwischen Entdeckung einer Lücke und ihrer Ausnutzung wird immer kürzer. WebKit als Kern von Safari und vielen Apps bleibt ein beliebtes Angriffsziel.

Branchenbeobachter sehen hier einen klaren Trend: hin zu agiler, kontinuierlicher Sicherheitswartung. Für Apple-Nutzer bedeutet das mehr Schutz bei minimalem Aufwand – und eine weitere Erinnerung, Software stets aktuell zu halten.

boerse | 68956547 |