Apple schließt kritische WebKit-Lücke mit neuem Update-System

Apple hat eilige Sicherheitsupdates für iOS, iPadOS und macOS veröffentlicht. Sie schließen eine kritische Lücke in der WebKit-Browserengine. Die Schwachstelle mit der Kennung CVE-2026-20643 betrifft die Navigation API und konnte die Same-Origin-Policy umgehen. Das Besondere: Apple nutzte erstmals sein neues System für "Hintergrund-Sicherheitsverbesserungen".

Wer sich durch die technischen Details von iOS-Updates und Fachbegriffen wie WebKit oder API überfordert fühlt, findet in diesem kostenlosen Lexikon einfache Erklärungen. Sichern Sie sich das kompakte PDF mit den 53 wichtigsten Apple-Begriffen inklusive praktischer Aussprachehilfen. Kostenloses iPhone-Lexikon jetzt anfordern

Die Updates für iOS 26.3.1, iPadOS 26.3.1 und die macOS-Versionen 26.3.1 und 26.3.2 wurden bereits am 17. März bereitgestellt. Eine vollständige Neuinstallation des Betriebssystems ist nicht nötig.

Was die WebKit-Lücke gefährlich machte

Die behobene Schwachstelle war eine Cross-Origin-Problematik in WebKit. Diese Engine treibt nicht nur Safari an, sondern kommt auch in vielen Drittanbieter-Browsern und Apps auf Apple-Geräten zum Einsatz.

Die Same-Origin-Policy ist eine fundamentale Sicherheitsbarriere. Sie verhindert, dass Skripte einer Webseite auf Daten einer anderen Seite zugreifen. Ein Angreifer hätte diese Barriere umgehen und so Daten von anderen geöffneten Websites abgreifen können – etwa Sitzungstokens oder Login-Daten. Ausgenutzt werden konnte die Lücke bereits durch den Besuch einer manipulierten Webseite. Der Sicherheitsforscher Thomas Espach entdeckte und meldete das Problem.

Schnellere Patches durch "Background Security Improvements"

Die Veröffentlichung markiert einen Meilenstein. Es ist der erste Patch, den Apple über das neue System der "Background Security Improvements" ausliefert. Diese Funktion wurde mit den Versionen 26.1 der Betriebssysteme eingeführt.

Sie erlaubt es Apple, gezielte Sicherheitskorrekturen für kritische Komponenten wie WebKit bereitzustellen – ohne ein vollständiges System-Update. Experten sehen darin einen großen Vorteil: Die Reaktionszeit auf akute Bedrohungen verkürzt sich erheblich. Die Updates werden im Hintergrund installiert, sofern Nutzer die automatische Installation in den Datenschutzeinstellungen aktiviert haben.

Warum WebKit so ein lohnendes Ziel ist

WebKit ist das Herzstück der Internetnutzung auf Apple-Geräten. Es rendert nicht nur Safari, sondern auch Web-Inhalte in unzähligen Apps. Diese ständige Verarbeitung von oft nicht vertrauenswürdigen Inhalten macht die Engine zu einem bevorzugten Angriffsziel.

Eine Lücke hier hat daher weitreichende Folgen. Sie betrifft nicht nur den Browser, sondern potenziell viele Anwendungen. Die jetzt geschlossene Same-Origin-Policy-Umgehung hätte Angreifern Tür und Tor geöffnet.

Besonders für Einsteiger, die gerade erst auf ein Apple-Gerät umgestiegen sind, können solche Sicherheitsmeldungen verunsichernd wirken. Dieser gratis Guide unterstützt Sie beim sicheren Umgang mit Ihrem Gerät und erklärt die wichtigsten Funktionen ohne Fachchinesisch. Kostenloses iPhone-Starterpaket hier herunterladen

Der Trend zu schnelleren Sicherheitsupdates

Apples schnelle Reaktion spiegelt einen Branchentrend wider. Angesichts von Zero-Day-Exploits und gezielten Angriffen müssen Softwareanbieter immer agiler werden. Die "Background Security Improvements" sind eine direkte Antwort auf diese Herausforderung.

Branchenbeobachter sehen in solchen Systemen die Zukunft. Sie ermöglichen eine dynamischere und weniger aufdringliche Sicherheitswartung. Für Nutzer bleibt die wichtigste Empfehlung: Automatische Updates aktivieren und bei der Nutzung des Browsers weiterhin Vorsicht walten lassen.

boerse | 68971678 |