Apple schließt aktiv ausgenutzte Zero-Day-Lücke in iOS und macOS

Die Sicherheitslücke trägt die Bezeichnung CVE-2026-20700 und wurde bislang ohne CVSS-Bewertung eingestuft. Sie betrifft dyld, Apples Dynamic Link Editor, und manifestiert sich als Fehler in der Speicherverwaltung. Gelingt es Angreifern, Schreibzugriff auf den Arbeitsspeicher zu erlangen, können sie durch Ausnutzung dieser Schwachstelle eigenen Code auf betroffenen Systemen ausführen. Als Entdecker gilt die Google Threat Analysis Group (TAG), die den Fehler an Apple meldete.

Das Unternehmen aus Cupertino bestätigte in einer offiziellen Stellungnahme Hinweise auf aktive Ausnutzung: „Apple liegt ein Bericht vor, der darauf hindeutet, dass diese Schwachstelle möglicherweise im Rahmen eines hochentwickelten Angriffs gegen ausgewählte Zielpersonen mit iOS-Versionen unterhalb von iOS 26 verwendet wurde.“ Gleichzeitig verwies das Unternehmen darauf, dass die Behebung von CVE-2026-20700 in Zusammenhang mit zwei weiteren Sicherheitsupdates steht: CVE-2025-14174 und CVE-2025-43529.

Diese beiden Schwachstellen wurden bereits im Dezember 2025 durch Sicherheitspatches adressiert. CVE-2025-14174 erhielt eine CVSS-Bewertung von 8,8 Punkten und beschreibt einen Speicherzugriffsfehler außerhalb definierter Grenzen in der Metal-Renderer-Komponente von ANGLE. Metal stellt Apples proprietäre Programmierschnittstelle für hardwarebeschleunigte Grafik- und Rechenoperationen dar. Google hatte diese Lücke zunächst als aktiv ausgenutzte Schwachstelle publiziert.

Die zweite Schwachstelle CVE-2025-43529 erreicht ebenfalls einen CVSS-Score von 8,8. Es handelt sich um einen Use-after-free-Fehler in der WebKit-Engine. Dieser Typ von Sicherheitslücke ermöglicht die Ausführung beliebigen Codes, wenn Nutzer speziell präparierte Webinhalte aufrufen oder verarbeiten.