Apple schließt kritische Zero-Day-Sicherheitslücken nach gezielten iPhone-Angriffen

Der iPhone-Konzern aus Cupertino hat am 12. Dezember 2025 umfassende Sicherheitsupdates ausgerollt, die zwei aktiv ausgenutzten Zero-Day-Schwachstellen schließen. Die Sicherheitslücken in der WebKit-Engine wurden für gezielte Angriffe auf ausgewählte iPhone-Anwender eingesetzt. Neben diesen kritischen Fixes adressiert Apple mehr als 30 zusätzliche Vulnerabilitäten in verschiedenen Systemkomponenten.

Zwei WebKit-Zero-Days im Visier von Angreifern

Mit den Updates iOS 26.2 und iPadOS 26.2 schließt Apple zwei Sicherheitslücken, die Angreifer bereits aktiv für sophisticated Attacken nutzten. Beide Schwachstellen befinden sich in WebKit, der Browser-Engine von Safari.

Die erste Vulnerability trägt die Kennung CVE-2025-43529 und basiert auf einem Use-after-free-Fehler. Über manipulierte Webinhalte konnten Angreifer beliebigen Code zur Ausführung bringen. Entdeckt wurde diese Lücke von Sicherheitsforschern der Google Threat Analysis Group.

Als CVE-2025-14174 katalogisiert wurde die zweite Schwachstelle, ein Speicherbeschädigungsfehler, der eng mit der ersten Lücke zusammenhängt. Die Entdeckung geht auf die gemeinsamen Bemühungen von Apple und Google TAG zurück. Beide Sicherheitslücken stehen nach Herstellerangaben in Verbindung mit zielgerichteten Spyware-Operationen gegen spezifische Nutzergruppen.

Umfangreiche Fehlerbehebungen über Systemgrenzen hinweg

Neben den beiden Zero-Day-Exploits beseitigt der Hersteller mehr als 30 weitere Sicherheitsprobleme in unterschiedlichen Betriebssystemkomponenten. Das Spektrum reicht von Kernel-Schwachstellen über Foundation-Bibliotheken bis zu Screen Time und curl.

Besonders hervorzuheben ist ein Integer-Overflow im Kernel mit der Bezeichnung CVE-2025-46285. Diese Schwachstelle ermöglicht eine Rechteausweitung auf Root-Ebene und wurde von Sicherheitsexperten der Alibaba Group identifiziert. Bei Screen Time traten mehrere Logging-Fehler auf, die sensible Informationen wie Safari-Browserverlauf oder Nutzerdaten offenlegen konnten. Diese Probleme sind unter den Kennungen CVE-2025-46277 und CVE-2025-43538 dokumentiert.

Zusätzliche WebKit-Patches und Open-Source-Korrekturen

WebKit erhielt weitere Sicherheitsupdates, die verschiedene Angriffsszenarien adressieren. Dazu zählen Typverwechslungen, Pufferüberläufe und Absturzszenarien, die unter anderem als CVE-2025-43541 und CVE-2025-43501 erfasst sind.

Darüber hinaus wurden Schwachstellen in Open-Source-Komponenten geschlossen. Betroffen sind libarchive mit CVE-2025-5918 sowie curl mit den Vulnerabilitäten CVE-2024-7264 und CVE-2025-9086.

Handlungsempfehlung für Anwender

Anwendern wird dringend empfohlen, die aktuellen Software-Updates zeitnah über die Systemeinstellungen zu installieren. Die Updates stehen für alle unterstützten iPhone- und iPad-Modelle zur Verfügung und sollten aufgrund der bereits aktiv ausgenutzten Sicherheitslücken umgehend eingespielt werden.

iOS 26.2 and iPadOS 26.2

Verfügbar für: iPhone 11 und neuer, iPad Pro 12,9 Zoll der 3. Generation und neuer, iPad Pro 11 Zoll der 1. Generation und neuer, iPad Air der 3. Generation und neuer, iPad der 8. Generation und neuer sowie iPad mini der 5. Generation und neuer

iOS 18.7.3 and iPadOS 18.7.3

Verfügbar für:iPhone XS und nachfolgende Modelle, iPad Pro 13 Zoll, iPad Pro 12,9 Zoll der 3. Generation und nachfolgende Modelle, iPad Pro 11 Zoll der 1. Generation und nachfolgende Modelle, iPad Air der 3. Generation und nachfolgende Modelle, iPad der 7. Generation und nachfolgende Modelle sowie iPad mini der 5. Generation und nachfolgende Modelle

macOS Tahoe 26.2

macOS Tahoe

macOS Sequoia 15.7.3

macOS Sequoia

macOS Sonoma 14.8.3

macOS Sonoma

tvOS 26.2

Apple TV HD and Apple TV 4K (alle Modelle)

watchOS 26.2

Apple Watch Series 6 und nachfolgende Modelle

visionOS 26.2

Apple Vision Pro (alle Modelle)

Safari 26.2

macOS Sonoma und macOS Sequoia

Lesen Sie auch:

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf  X / Bluesky / Mastodon