iOS/macOS 26.5 bringen mehr als 50 sicherheitsrelevante Bugfixes
Die normalen Release Notes zu iOS 26.5 sind recht kurz, zumal Apple nur für die EU relevante Änderungen (Pairing von Drittanbieter-Hardware, Durchstellen von Benachrichtigungen) gar nicht erst aufführt. Die Rede ist stattdessen nur von Ende-zu-Ende-Verschlüsselung von RCS‑Nachrichten, den neuen Pride-Hintergrundbildern sowie in den USA dem neuen Empfehlungssystem in Apple Maps – womit die Einbindung von Werbung gemeint ist. Was Apple zudem per Standardsatz "enthält wichtige Sicherheitsverbesserungen" abhandelt, hat es allerdings in sich. Auch diesmal sind wieder Dutzende geschlossene Lücken mit von der Partie, das entsprechende Supportdokument führt mehr als 50 Stellen auf. Die komplette Aufstellung für iOS gibt es auf dieser
Seite, im Falle von macOS 26.5 wird man
hier fündig.
Bislang keine Exploits vorhandenKeine der dokumentierten Lücken wurde nach Apples Kenntnisstand aktiv ausgenutzt, andernfalls würde sich ein entsprechender Vermerk finden lassen. Ein großer Block betrifft wie immer WebKit. Apple beschreibt mehrere Fehler, bei denen präparierte Webinhalte zu Safari- oder Prozessabstürzen, zur Umgehung von Sicherheitsregeln oder zur Offenlegung sensibler Informationen führen konnten. Das ist für Nutzer insofern relevant, als WebKit eben nicht nur Safari, sondern auch viele In-App-Browser und Webansichten betrifft.
Schwachstellen im Kernel und weiteren BereichenApple nennt zudem Verbesserungen beim Kernel, was ebenfalls bei vielen sicherheitsrelevanten Updates ein wesentlicher Faktor ist. Kompromittierte Apps/Dienste konnten theoretisch an mehreren Stellen Kernel-Speicher offenlegen, Root-Rechte erlangen, Systemabstürze auslösen oder in Kernel-Speicher schreiben. Des Weiteren ist die Rede von Lücken in Bereichen wie Accounts, App Intents, CoreAnimation, FileProvider, Shortcuts, Storage, Status Bar und WidgetKit. Die Auswirkungen reichen von der Umgehung bestimmter Datenschutzvorgaben über Zugriff auf sensible Nutzerdaten bis hin zu Bildschirmaufnahmen durch Apps – wie erwähnt jedoch ohne Belege, dass es dazu aktiv genutzte Exploits gibt.