Datenschutz & Sicherheit
iOS 26.5, macOS 26.5 & Co. sind da: Das ist neu auf iPhones, iPads und Macs
Release-Tag bei Apple: Der Hersteller hat am Montagabend größere Updates für iPhones, Macs, iPads und Watches zum Download freigegeben. Die frische Version 26.5 der Betriebssysteme iOS, macOS, iPadOS und watchOS beinhaltet nur eine kleine Zahl an Neuerungen, dafür ist eine Funktion gravierend: Mit dem Update liefert Apples Nachrichten-App nämlich die versprochene Ende-zu-Ende-Verschlüsselung (E2EE) für RCS nach. Das Messaging mit Android-Nutzern über Apples Standard-App soll damit zum ersten Mal mit einer durchgängigen Verschlüsselung dagegen geschützt werden, dass etwa Netzbetreiber oder andere Dritte mitlesen können.
Weiterlesen nach der Anzeige
RCS mit E2EE vorerst als Beta
Die Verschlüsselung erfolgt auf Protokollebene und basiert auf der vor über einem Jahr eingeführten RCS-Spezifikation „RCS Universal Profile 3.0“. Als Kryptografie-Standard kommt das Messaging-Layer-Security-Protokoll (MLS) zum Einsatz. Apple stuft die Verschlüsselung vorerst als „Beta“ ein und verweist darauf, dass diese erst schrittweise eingeführt wird und der Konzern keine Kontrolle über den Client des Gegenübers hat. Voraussetzung ist, dass RCS 3.0 von der App des Senders wie Empfänger unterstützt wird – und auch die jeweils involvierten Netzbetreiber mit an Bord sind.
Am Montag klappte in einem kurzen Test von Mac & i der Austausch von RCS-Mitteilungen mit Ende-zu-Ende-Verschlüsselung zwischen einem iPhone mit iOS 26.5 im Telekom-Netz sowie einem Android-Gerät mit Android 16 und Google Messages (Beta) im Vodafone-Netz. Ein RCS-Chat mit Google Messages auf einem anderen Android-Smartphone im Telekom-Netz blieb im Unterschied dazu unverschlüsselt – Ursache unklar. Apple Nachrichten kennzeichnet die Ende-zu-Ende-Verschlüsselung ärgerlicherweise nur sehr unauffällig, sodass viele Nutzer übersehen dürften, ob ihre Nachrichten tatsächlich geschützt sind oder aber nicht. Sprechblasen bleiben – wie schon immer bei SMS-Messages – unverändert grün, auch wenn die durchgängige Verschlüsselung greift.
Update
11.05.2026,
19:28
Uhr
Apple betonte am Montagabend, dass für RCS-Messaging mit E2EE auf Android-Seite die jüngste Version von Google Messages erforderlich ist. Die Verschlüsselung soll standardmäßig aktiviert sein und wird „automatisch im Laufe der Zeit für neue und bestehende RCS-Chats eingeschaltet“. Apples Liste mit Mobilfunkanbietern zufolge unterstützen in Deutschland aktuell die Telekom, O2 sowie 1&1 verschlüsselte RCS-Chats – nicht aber Vodafone.
Sicherheits-Patches – auch für ältere Apple-Systeme
iOS 26.5 liefert ein neues Wallpaper „Pride Luminance“ mit und bereitet in ersten Regionen die Einführung von Werbung in Apple Karten vor. Dazu gehören neue Vorschläge für Orte in der Umgebung, dort sollen letztlich auch die Werbebanner erscheinen. In Deutschland ist davon vorerst nichts zu sehen. In watchOS 26.5 beseitigt Apple außerdem zwei Bugs. Kleinere Neuerungen gibt es in der Erinnerungen-App für als dringend markierte To-dos sowie beim Verbinden mit Apple-Peripherie: Stöpselt man eine Magic-Keyboard-Tastatur zum ersten Mal per Kabel an iPhone oder iPad, wird dadurch zugleich das Bluetooth-Pairing hergestellt.
Weiterlesen nach der Anzeige
Die neue Version soll auch Sicherheitslücken beseitigen, erste Details dazu liefert Apple gewöhnlich im Laufe des Abends nach. Parallel zu iOS, iPadOS, macOS und watchOS hat Apple auch tvOS und visionOS 26.5 zum Download freigegeben sowie die Software-Version 26.5 für HomePods. Überdies gibt es einen Patch für iOS und iPadOS 18 mit Version 18.7.9 sowie Updates für macOS 15 Sequoia (15.7.7) und macOS 14 Sonoma (14.8.7). Ebenfalls verfügbar: iOS 17.7.11, 16.7.16 und 15.8.8.
(lbe)
Datenschutz & Sicherheit
Polymarket: Kriminelle sollen Kryptowerte in Millionenhöhe gestohlen haben
Polymarket bestätigte am Donnerstag, dass ein kompromittierter Drittanbieter für einige Nutzer Schadcode in die Website eingeschleust habe. Der Vorfall sei eingedämmt und die betroffene Komponente entfernt worden. Betroffene Nutzer würden kontaktiert und vollständig entschädigt, schreibt das Unternehmen auf X.
Weiterlesen nach der Anzeige
Weitere Details nannte Polymarket zunächst nicht. Unklar bleibt, welcher Dienstleister kompromittiert wurde, wie der Angriff im Einzelnen ablief, wie viele Nutzer betroffen waren und wie hoch der Schaden ist. Gegenüber TechCrunch bestätigte ein Polymarket-Sprecher lediglich, dass bei dem Vorfall Geld von Nutzern gestohlen wurde.
Die Blockchain-Sicherheitsfirma PeckShield meldete auf X, dass es sich offenbar um eine Phishing-Kampagne gegen Polymarket-Nutzer handelt. Dabei sollen Kryptowerte im Wert von rund 3 Millionen US-Dollar gestohlen worden sein, konkret PUSD. PUSD ist der an den US-Dollar gekoppelte interne Dollar-Token, mit dem Polymarket Wetten abrechnet. Der Angreifer habe die gestohlenen Werte über eine Bridge vom Polygon-Netzwerk ins Ethereum-Netzwerk verschoben und dort in Ether getauscht.
Prognosemärkte: Zwischen Boom und Kritik
Polymarket war erst wenige Tage zuvor wegen mutmaßlich manipulativer Influencer-Werbung in die Kritik geraten. Laut Wall Street Journal soll das Unternehmen Influencer für Videos bezahlt haben, in denen angebliche Wetten und Gewinne gezeigt wurden, die tatsächlich auf nachgebauten Seiten oder internen Testumgebungen entstanden.
Prognosemärkte wie Polymarket und Kalshi verzeichnen starkes Wachstum, sind rechtlich und politisch aber stark umstritten. In den USA laufen derzeit mehr als 30 Verfahren zur Zulässigkeit solcher Plattformen. Kritiker befürchten, dass Prognosemärkte Grenzen verschieben: Informationen aus erster Hand könnten zu Wettvorteilen werden, Krisen und Unglücke zu Anlageobjekten. Besonders problematisch wäre es, wenn finanzielle Interessen nicht nur auf den Ausgang eines Ereignisses setzen, sondern diesen selbst beeinflussen.
Trotzdem wächst der Markt inzwischen so stark, dass er neue Wettbewerber auf den Plan ruft: So soll Meta Berichten zufolge an einer Prognoseplattform namens „Arena“ arbeiten, bei der wohl aus rechtlichen Bedenken zunächst Spielgeld statt Echtgeld eingesetzt würde.
Weiterlesen nach der Anzeige
(tobe)
Datenschutz & Sicherheit
Netzwerkbetriebssystem Arista EOS: Angreifer können Systemdaten manipulieren
Wenn Admins in Cloud-Infrastrukturen oder Rechenzentren Router und Switches mit Arista EOS nutzen, können Angreifer an mehreren Schwachstellen ansetzen. Stimmen die Voraussetzungen, sind Systeme kompromittierbar. Bislang gibt es keine Hinweise auf bereits laufende Attacken.
Weiterlesen nach der Anzeige
Mehrere Gefahren
In einer Warnmeldung finden sich unter anderem Informationen zu einer „kritischen“ Lücke (CVE-2026-11705). Daran können Angreifer aber nur ansetzen, wenn im Kontext von Streaming Telemetry Agent die TerminAttrRW-Option aktiv ist. Den Entwicklern zufolge ist das aber keine Standardeinstellung, sodass Geräte nicht per se angreifbar sind.
Ist die Voraussetzung erfüllt, können Angreifer durch das Versenden von präparierten Paketen Fehler auslösen und danach Systemdaten modifizieren. Aufgrund der kritischen Einstufung ist davon auszugehen, dass Geräte danach als kompromittiert gelten.
Bislang ist dagegen nur die EOS-Version 4.36.1F erschienen. Für ältere Ausgaben sind bislang nur Fixes verfügbar, die Arista in der Warnmeldung auflistet. Weitere Sicherheitspatches sollen folgen. Um Netzwerke vor solchen Attacken zu schützen, können Admins den Streaming-Telemetry-Agenten (TerminAttr) deaktivieren.
Durch das erfolgreiche Ausnutzen weiterer Lücken werden etwa manipulierte Zertifikate akzeptiert (CVE-2026-52896 „hoch“) oder Angreifer können Zugangsdaten einsehen (CVE-202652895 „mittel“).
In einer weiteren Warnmeldung führen die Entwickler noch eine Lücke (CVE-2026-12546 „mittel“) auf. Darüber ist die Authentifizierung umgehbar. In den verlinkten Warnmeldungen finden Admins weiterführende Hinweise zu den Schwachstellen und konkret bedrohten EOS-Versionen.
Weiterlesen nach der Anzeige
(des)
Datenschutz & Sicherheit
Chrome: Zwei Updates in einer Woche
Google hat den Webbrowser Chrome zum Freitag ein zweites Mal in dieser Woche aktualisiert. Damit stopft der Hersteller insgesamt 21 Sicherheitslücken. Der Grund für das zweite ungeplante Update ist jedoch unklar. Aber der Reihe nach.
Weiterlesen nach der Anzeige
In der Nacht zum Mittwoch hat Google das übliche wöchentliche Browser-Update für Chrome herausgegeben. Das behandelt 18 Sicherheitslücken, von denen vier sogar die Risikobewertung als „kritisch“ erhalten haben. Dazu gehören zwei Use-after-free-Schwachstellen in WebGL (CVE-2026-13028, CVE-2026-13032), eine weitere in Autofill (CVE-2026-13038) sowie potenzielle Lesezugriffe außerhalb vorgesehener Speichergrenzen in der Komponente „Blink>InterestGroups“ (CVE-2026-13033). Bei Use-after-free-Sicherheitslücken greift der Programmcode auf bereits freigegebene Ressourcen zu, deren Inhalte daher nicht definiert sind. Angreifer können das oftmals sogar zum Ausführen von Schadcode missbrauchen, etwa bei der Anzeige sorgsam präparierter Webseiten.
Zum Freitag haben Googles Entwickler nun eine Aktualisierung nachgelegt, die außerhalb des üblichen Zeitplans erfolgt. Das passiert normalerweise etwa, wenn Schwachstellen bereits attackiert werden. Davon schreibt Google jedoch nichts. Lediglich drei Schwachstellen bessert das Update demnach aus, und die schätzen die Programmierer auch „nur“ als ein hohes Risiko ein. Darunter sind erneut zwei Use-after-free-Schwachstellen, einmal in Payments (CVE-2026-13282) und einmal in AdFilter (CVE-2026-13283). Außerdem korrigiert das Update einen Integer-Überlauf in der Mojo-Komponente (CVE-2026-13281).
Update außer der Reihe, aber kein Exploit
Üblicherweise schreibt Google in den Versionsankündigungen, wenn das Unternehmen davon weiß, dass Sicherheitslücken bereits im Internet angegriffen werden. In beiden Versionsankündigungen finden sich jedoch keine derartigen Hinweise. Dennoch sollten Nutzer von Chromium-basierten Webbrowsern etwaige verfügbare Aktualisierungen zügig anwenden. Das reduziert die potenzielle Angriffsfläche auf jeden Fall.
Aktuell sind ab Freitag nun die Versionen Chrome 149.0.7827.200 für Android und Linux sowie 149.0.7827.200/201 für Mac und Windows. Die lassen sich über den Versionsdialog direkt im Browser installieren (Einstellungsmenü, dort „Hilfe“ – „Über
Vor zweieinhalb Wochen musste Google mit einem Update außer der Reihe eine bereits angegriffene Schwachstelle im Webbrowser Chrome schließen.
Weiterlesen nach der Anzeige
(dmk)
KI-Überwachung in der Straßenbahn: Mehr Sicherheit im Fahrgastraum?
Wie bei Mythos 5 und Fable 5: US-Administration verzögert OpenAIs neues GPT-5.6-Modell
Vom Tech-Manager zum Grillmeister: Warum ich den Top-Job gegen ein Restaurant tauschte
Empfehlungsalgorithmen bei TikTok erklärt: Die Maschine hinter dem Endlos‑Feed
iX-Workshop Angriffsziel lokales AD − Schwachstellen finden und beheben
„Don’t Starve Elsewhere“: Survival‑Hit kehrt nach zehn Jahren zurück
-
Künstliche Intelligenzvor 3 MonatenEmpfehlungsalgorithmen bei TikTok erklärt: Die Maschine hinter dem Endlos‑Feed
-
Künstliche Intelligenzvor 3 MonateniX-Workshop Angriffsziel lokales AD − Schwachstellen finden und beheben
-
Künstliche Intelligenzvor 3 Monaten„Don’t Starve Elsewhere“: Survival‑Hit kehrt nach zehn Jahren zurück
-
Künstliche Intelligenzvor 3 MonatenKine‑Exakta: Die erste Spiegelreflexkamera fürs Kleinbild
-
Künstliche Intelligenzvor 2 MonatenWeitere Entlassungswelle bei Disney: Bis zu 1000 Mitarbeiter betroffen
-
Künstliche Intelligenzvor 2 Monaten
xTool P3 im Test: CO₂-Laser mit 80 Watt schneidet und graviert auch Acryl
-
Social Mediavor 2 MonatenMetas neuer Creative Setup Workflow: Was sich wirklich ändert – und warum das nicht nur eine UI-Frage ist!
-
Apps & Mobile Entwicklungvor 2 MonatenMega-GPUs für Nvidia, AMD & Co: TSMC zeigt CoWoS-Package mit >11.600 mm² & 24 × HBM5E
