Zum Apple-Patchday auf Version 26.5. gab es heute einige Neuerungen & Fixes für Schwachstellen für User:innen des Apple-Ökosystems.
Neue Features
Apple führte heute die Ende-zu-Ende-verschlüsselte RCS-Nachrichtenübermittlung in der Beta-Phase für iPhone-Nutzer:innen mit iOS 26.5 bei unterstützten Mobilfunkanbietenden sowie für Android-Nutzer:innen mit der neuesten Version von Google Messages ein. Wenn RCS-Nachrichten Ende-zu-Ende-verschlüsselt sind, können sie während der Übertragung zwischen den Geräten nicht gelesen werden. Nutzer:innen erkennen, dass eine Unterhaltung Ende-zu-Ende-verschlüsselt ist, wenn sie in ihren RCS-Chats ein neues Schloss-Symbol sehen. Die Verschlüsselung ist standardmäßig aktiviert und wird im Laufe der Zeit automatisch für neue und bestehende RCS-Konversationen aktiviert. Eine Übersicht über kompatible Mobilfunkanbieter ist weiter unten verlinkt. Spoiler: 1&1, O2, Telekom, Vodafone.
Wichtig: Auch die 18er-Version bekommt ein Update auf 18.7.9, allerdings ohne die FunktonsUpdates.
Weitere neue Funktionen sind schnell aufgeschrieben:
- Zum Download bereit: „Pride Luminance“-Hintergrundbild, das ein Farbspektrum dynamisch bricht,
- „Empfohlene Orte in Maps“ zeigt Empfehlungen (Werbung!) an, die auf aktuellen Trends in der Umgebung und deinen letzten Suchanfragen basieren. dieses „Feature“ gibt es aber zunächst nur für die Staaten und Kanada.
- Bei Bedarf: Live-Activity-Weiterleitung für Zubehör von Drittanbietern.
Apple schließt kritische Sicherheitslücken in iOS 26.5 und iPadOS 26.5
Apple hat am 11. Mai 2026 ein umfassendes Sicherheitsupdate für iOS 26.5 und iPadOS 26.5 veröffentlicht, das zahlreiche hochkritische Schwachstellen schließt. Das Update adressiert insgesamt über 50 Sicherheitslücken und betrifft Geräte ab dem iPhone 11 und entsprechende iPad-Modelle. Besonders hervorzuheben sind mehrere Lücken, die potenziell zu Root-Zugriff, Kernel-Memory-Leaks oder Sandbox-Umgehungen führen konnten.
Kritischste Schwachstellen im Überblick:
Die schwerwiegendste entdeckte Sicherheitslücke betrifft den Kernel-Bereich mit der CVE-ID CVE-2026-28951. Diese ermöglichte es einer App, Root-Rechte zu erlangen – ein klassischer Zero-Day-Angriffvektor, der vollständige Kontrolle über das Gerät erlaubt hätte. Die Schwachstelle wurde durch verbessertes State-Management behoben.
Ein weiterer kritischer Fund stammt aus dem IOKit-Subsystem (CVE-2026-28969), wo ein „Use-after-Free“-Fehler zu unerwarteten Systemabstürzen führen konnte.
Im Kernel-Bereich gab es weitere hochkritische Lücken:
- CVE-2026-28972: Ein Out-of-Bounds-Schreibfehler ermöglichte das Schreiben in Kernel-Speicher
- CVE-2026-28986: Eine Race-Condition führte zu Systemabstürzen
- CVE-2026-28987: Ein Logging-Fehler ermöglichte das Leaken sensibler Kernel-Zustände
Sandbox-Umgehungen und Datenschutzrisiken:
Besonders besorgniserregend ist die Lücke im App Intents-Modul (CVE-2026-28995), die es einer bösartigen App ermöglichen konnte, aus ihrer Sandbox auszubrechen.
Im CoreAnimation-Bereich (CVE-2026-28964) konnte eine inkonsistente Benutzeroberfläche zum Zugriff auf sensible Benutzerdaten führen.
Netzwerk- und Web-Sicherheitslücken:
Der WebKit-Browser-Engine wurden zahlreiche Schwachstellen behoben, darunter:
- Mehrere Lücken, die Content-Security-Policy-Umgehungen ermöglichten
- Schwachstellen, die zum Absturz von Safari führten
- Ein Fehler (CVE-2026-28958), der den Zugriff auf sensible Benutzerdaten ermöglichte
Im mDNSResponder-Modul wurden vier separate Denial-of-Service-Lücken geschlossen, die Angreifern im lokalen Netzwerk ermöglichten, Systeme lahmzulegen.
Physikalischer Zugriff und Privatsphäre:
Eine besondere Schwachstelle betrifft das Screenshots-Feature auf iPhone 15 und neuer (CVE-2026-28963). Angreifer mit physischem Zugriff konnten über Visual Intelligence während des iPhone-Mirrorings auf sensible Daten zugreifen.
Empfehlung: Updaten!
Diese Empfehlung verwundert Sie nun hoffentlich nicht. 50 Fixes, davon einige für hochkritische Fehler, machen ein schnelles Update notwendig. Möglicherweise wollen Sie auch die verschlüsselten Nachrichten nutzen, obwohl zu vermuten steht, dass Sie ohnehin einen Massenger nutzen, der auf allen Systemen E2EE bietet.
[https://support.apple.com/en-us/127110][https://support.apple.com/de-de/108048]