iPhone, Mac & mehr: Jede Menge Sicherheitsupdates – iOS 18 bleibt ungepatcht

Mit iOS 26.1, macOS 26.1, iPadOS 26.1, watchOS 26.1, tvOS 26.1 und visionOS 26.1, die seit Montagabend bereitstehen, hat Apple auch zahlreiche Sicherheitslücken geschlossen. Neben den neuen Systemen wurden auch ältere gepatcht – allerdings nur auf dem Mac. iOS 18 und iPadOS 18 blieben zunächst gänzlich ohne Update, was Nutzer letztlich zwingt, auf iOS 26.1 und iPadOS 26.1 zu aktualisieren, um ihre Systeme abzudichten. Ob Apple ein Patchpaket für das beliebte ältere System für iPhones und iPads nachlegen wird, bleibt unklar.

iOS und iPadOS: Schnell aktualisieren

iOS 26.1 und iPadOS 26.1 enthalten 45 sicherheitsrelevante Verbesserungen, plus 16 weitere Patches, die Apple (leider) nicht näher ausführt, sondern denen nur Credits (also die Auffinder) zugeordnet wurden. Betroffen sind nahezu alle Bereiche vom Kernel über die Installationsroutine, die Account-Steuerung, die integrierten KI-Modelle und die Fotos-App bis hin zum Browser Safari mit diversen geschlossenen WebKit-Lücken.

Bereits bekannte Exploits scheint es nicht zu geben, zumindest führt Apple keine auf. Die Lücken führen potenziell zu App- und System-Abstürzen, entfleuchten Daten, dem Nachladen unerwünschter Inhalte, der Aktivierung der Gerätekamera ohne Genehmigung und einige problematische Fehler mehr – aus der Ferne ausnutzbare Bugs (Remote Exploits) nannte Apple zunächst nicht. iOS und iPadOS 18 bleiben wie erwähnt bei Versionsstand 18.7.1 aus dem vergangenen September. Ob das bedeutet, dass Apple die Pflege ganz einstellt, bleibt unklar. Das wäre unschön, da viele User, die den Liquid-Glass-Look in iOS 26 und iPadOS 26 nicht mögen, zunächst auf iOS 18 und iPadOS 18 geblieben sind. Sie nutzen derzeit unsichere Systeme.

Massives Patch-Paket für Tahoe

Die Zahl der in macOS 26.1 geschlossenen Lücken ist noch deutlich größer: Es sind sage und schreibe knapp 90 – plus ein Dutzend Bugs, bei denen Apple keine näheren Details publiziert. Mindestens eine der macOS-Lücken ist von außen ausnutzbar – in Form einer Denial-of-Service-Attacke auf die CoreAnimation-Routine. Ansonsten handelt es sich wie auf iPhone und iPad um einen bunten Strauß voller Bugs – von „A“ wie Admin Framework (Nutzerdaten können leaken) über „C“ wie CloudKit (Sandbox-Ausbruch), „N“ wie Networking (iCloud Private Relay dreht sich ab) bis hin zu „s“ wie sudo (Apps können sich sensible Daten schnappen). Auch in Safari für macOS steckten jede Menge Fehler in WebKit. Es lassen sich Abstürze auf App- und Systemebene provozieren. Datenschutzrelevant ist zudem eine Lücke in „Wo ist?“, die ein Nutzerfingerprinting ermöglicht.

Für macOS Sequoia legt Apple Update 15.7.2, für macOS Sonoma Update 14.8.2 nach. Beide korrigieren, wie bei Apple leider üblich, nicht alle in macOS 26.1 gestopften Lücken, nur wer das neueste Betriebssystem verwendet, ist vollständig sicher. Wie problematisch das ist, lässt sich schwer sagen, da unklar bleibt, wie viele der gefixten Bugs erst mit macOS 26 eingeführt wurden. Details zu den Patch-Paketen für tvOS 26.1, watchOS 26.1 und visionOS 26.1 hat Apple ebenfalls publiziert – auch hier gibt es dutzende Fixes, ein schnelles Update ist angeraten. Schließlich liefert Apple auch noch ein Browser-Einzelupdate auf Safari 26.1 für Sequoia und Sonoma aus. Entwickler bekommen zudem Xcode 26.1, das Lücken im GNU-Framework und in libd stopft (ab macOS 15.6 erhältlich).

(bsc)