Zero-Day-Lücken in Webkit: Angriffe auf iPhone-Nutzer beobachtet

Mit der Einführung von iOS 26.2 hat Apple zahlreiche Sicherheitslücken in seinem iPhone-Betriebssystem gepatcht. Darunter befinden sich auch zwei Schwachstellen in der Safari-Browserengine Webkit, die laut Apple(öffnet im neuen Fenster) bereits für "äußerst raffinierte Angriffe auf bestimmte Personen" ausgenutzt wurden. Zumindest eine dieser Lücken klaffte bis vor wenigen Tagen auch in Google Chrome.

Bei den beiden ausgenutzten iOS-Lücken handelt es sich um CVE-2025-43529 und CVE-2025-14174. Erstere ist ein nicht näher spezifizierter Use-after-free-Bug, die zweite ein Speicherkorruptionsproblem. Apple will die Schwachstellen durch ein verbessertes Speichermanagement sowie eine optimierte Validierung geschlossen haben.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Effiziente Containerverwaltung mit Kubernetes

zum Artikel

Karriere Ratgeber: EU-Entgelttransparenzrichtlinie: Was Unternehmen ab 2026 konkret erwartet

zum Ratgeber

Seminar: Grundlagen der Barrierefreiheit im Web: virtueller Zwei-Tage-Workshop

zum Kurs

E-Learning: Network-Hacking (E-Learning in English)

zum Kurs

Zu beiden Lücken schreibt Apple, bösartig gestaltete Webinhalte könnten eine Schadcodeausführung respektive eine Speicherkorruption zur Folge haben. Wie genau die Angreifer dabei vorgehen, lässt der Konzern wie gewohnt offen. Das hat Sicherheitsgründe, denn so erhalten Anwender zunächst Zeit, die verfügbaren Patches einzuspielen, bevor weitere Angreifer an die nötigen Details gelangen, um die Lücken ebenfalls auszunutzen.

Patches sind verfügbar

Apple nennt hinsichtlich der aktiven Ausnutzung bisher nur beobachtete Angriffe auf iPhones mit iOS-Versionen, die vor iOS 26 erschienen sind. Dennoch klaffen die beiden Lücken neben dem iPhone (ab iPhone 11) auch in iPads verschiedener Größen und Generationen mit iPadOS sowie in TvOS(öffnet im neuen Fenster) , WatchOS(öffnet im neuen Fenster) , VisionOS(öffnet im neuen Fenster) , MacOS(öffnet im neuen Fenster) und Safari(öffnet im neuen Fenster) .

Wer sich vor möglichen Angriffen schützen will, sollte die genannten Betriebssysteme jeweils zeitnah auf Version 26.2 aktualisieren. Zumindest für iOS und iPadOS gibt es die Patches aber auch mit der Versionsnummer 18.7.3(öffnet im neuen Fenster) . Entdeckt hat Apple die beiden Sicherheitslücken nach eigenen Angaben zusammen mit der Threat Analysis Group (TAG) von Google.

Erst vor wenigen Tagen hatte Google ebenfalls eine aktiv ausgenutzte Sicherheitslücke im Webbrowser Chrome geschlossen , zu der der Konzern anfangs keine näheren Angaben machte. Inzwischen hat Google die Release Notes(öffnet im neuen Fenster) aber aktualisiert. Demnach scheint es sich dabei ebenfalls um CVE-2025-14174 zu handeln. Google nennt als Ursache einen möglichen Speicherzugriff außerhalb vorgegebener Grenzen in dem WebGL-Backend Angle.

• Reklame Hier geht es zum iPhone 17 bei Amazon