Apple hat ausserplanmaessige Sicherheitsupdates fuer alle zentralen Betriebssysteme des Konzerns veroeffentlicht und damit zwei Zero-Day-Schwachstellen im Browser-Engine WebKit geschlossen. Nach Angaben des Unternehmens wurden beide Luecken bereits im Rahmen gezielter, technisch anspruchsvoller Angriffe gegen einen begrenzten Nutzerkreis ausgenutzt – ein klares Indiz fuer den Einsatz in Spionage‑ oder Ueberwachungskampagnen.
Kritische WebKit-Sicherheitsluecken CVE-2025-43529 und CVE-2025-14174 im Detail
Die erste Schwachstelle, CVE-2025-43529, ist eine sogenannte use-after-free-Luecke in WebKit. Dabei greift ein Programm auf Speicherbereiche zu, die bereits freigegeben wurden. Ein Angreifer kann speziell praepartierte Webinhalte ausliefern, die diesen Fehler ausloesen und so beliebigen Code aus der Ferne ausfuehren. Damit laesst sich im schlimmsten Fall die komplette Kontrolle ueber das Geraet uebernehmen, sobald ein Opfer eine manipulierte Webseite aufruft. Entdeckt wurde diese Luecke von der Google Threat Analysis Group (TAG), die sich auf die Aufdeckung von staatlich gestuetzten und besonders zielgerichteten Angriffen spezialisiert hat.
Die zweite Schwachstelle, CVE-2025-14174, betrifft ebenfalls WebKit und wird als Memory Corruption (Speicherfehler) klassifiziert. Solche Fehler koennen Schutzmechanismen wie Sandboxing oder Prozessisolation unterlaufen und ermoeglichen in vielen Faellen die Codeausfuehrung im Kontext des Browsers oder eines Systemprozesses. Fuer CVE-2025-14174 liegt ein CVSS-Basis-Score von 8,8 vor, was dem Risiko-Level Hoch entspricht. Die Entdeckung wird sowohl Apple-internen Sicherheitsteams als auch der Google TAG zugeschrieben.
Betroffene Apple-Geraete und sicherheitsrelevante Updates im Ueberblick
Da WebKit auf Apple-Plattformen nicht nur Safari, sondern alle Browser unter iOS und iPadOS sowie zahlreiche eingebettete Webansichten (z.B. in Apps) antreibt, ist die Zahl der potenziell betroffenen Nutzer besonders gross. Gefaehrdet sind Besitzer von iPhone, iPad, Mac, Apple Watch, Apple TV und Vision Pro, sofern sie noch nicht auf die neuesten Versionen aktualisiert haben.
Laut Apple wurden die beiden Zero-Day-Luecken in folgenden Versionen behoben: iOS 26.2 und iPadOS 26.2 sowie in den Wartungsversionen iOS 18.7.3 und iPadOS 18.7.3 fuer aeltere Geraetegenerationen, macOS Tahoe 26.2, tvOS 26.2, watchOS 26.2, visionOS 26.2 und in Safari 26.2 fuer macOS. Nutzer sollten diese Updates umgehend installieren, da die aktive Ausnutzung in realen Angriffskampagnen bereits bestaetigt ist.
Gemeinsame 0-Day-Abwehr von Apple und Google: Verbindung zu Chrome und ANGLE
Besonders bemerkenswert ist die Ueberschneidung beim Identifier CVE-2025-14174 zwischen Apple und Google. Google hatte kuerzlich ein Sicherheitsupdate fuer Chrome veroeffentlicht, das eine zuvor nicht offengelegte Zero-Day-Schwachstelle im Grafik-Subsystem ANGLE als „Out-of-bounds memory access“ adressierte und spaeter ebenfalls mit CVE-2025-14174 kennzeichnete.
Die gemeinsame Nutzung derselben CVE-Nummer durch Apple und Google weist auf einen koordinierten Patch-Release und abgestimmte Offenlegung hin. In der Sicherheitsbranche gilt dieses Vorgehen als Best Practice: Wird eine 0-day Luecke bereits ausgenutzt, versuchen betroffene Hersteller, ihre Updates moeglichst zeitgleich auszurollen. So wird das Zeitfenster, in dem Angreifer denselben Fehler plattformuebergreifend missbrauchen koennten, deutlich verkleinert.
Warum WebKit und iOS bevorzugte Ziele fuer Spionagekampagnen sind
WebKit ist ein Kernbaustein der Apple-Oekosysteme: Er bildet die Grundlage von Safari, nahezu allen In-App-Browsern und saemtlichen WebViews auf iOS und iPadOS. Da Drittbrowser auf iOS verpflichtend WebKit verwenden muessen, wirkt sich eine einzige verwundbare Komponente auf einen Grossteil der Apple-Nutzerbasis gleichzeitig aus. Fuer Angreifer erhoeht dies den ROI (Return on Investment) eines Exploits erheblich.
Apple berichtet, dass die aktuellen Zero-Day-Luecken in einer „aeusserst komplexen, zielgerichteten Angriffskette“ auf iOS-Versionen bis 26 missbraucht wurden. Das Angriffsmuster folgt bekannten Schemata aus der Welt kommerzieller Spyware: Initiale Infektion ueber den Browser, Ausfuehrung von Code im Kontext des Webprozesses, anschliessende Privilege Escalation und Persistenz im System. Aehnliche Vorgaenge wurden in oeffentlichen Berichten von Teams wie Google Project Zero und Microsoft Threat Intelligence zu vielfaeltigen staatlich beauftragten Ueberwachungskampagnen dokumentiert.
Analysen dieser Forschungsgruppen zeigen seit Jahren, dass die Zahl entdeckter 0-day Luecken in weit verbreiteten Plattformen jaehrlich bei mehreren Dutzend Faellen liegt. Browser-Engines wie WebKit, Blink (Chrome) oder Gecko (Firefox) stehen dabei regelmaessig im Fokus, weil sie eine grosse Angriffsoberflaeche bieten und meist der erste Beruehrungspunkt zwischen Nutzer und Internet sind.
Neun aktiv ausgenutzte Zero-Days bei Apple in 2025 – Signal fuer hoehere Update-Dringlichkeit
Mit den neuen WebKit-Fixes hat Apple im Jahr 2025 bereits neun Zero-Day-Schwachstellen behoben, die laut eigener Aussage aktiv ausgenutzt wurden. Zuvor waren unter anderem CVE-2025-24085 (Januar), CVE-2025-24200 (Februar), CVE-2025-24201 (Maerz), CVE-2025-31200 und CVE-2025-31201 (April), CVE-2025-43200 (Juni) sowie CVE-2025-43300 (August) geschlossen worden.
Ein Anstieg oeffentlich dokumentierter Zero-Days bedeutet jedoch nicht automatisch, dass eine Plattform unsicherer wird. Haeufig ist er Ausdruck verbesserter Detection- und Meldeprozesse sowie einer intensiveren Zusammenarbeit mit externen Sicherheitsforschern. Fuer Unternehmen und Endnutzer bleibt die Botschaft dennoch eindeutig: Das Risiko durch verzoegerte Updates nimmt kontinuierlich zu.
Vor diesem Hintergrund sollten Besitzer von Apple-Geraeten ihre Systeme schnellstmoeglich auf die genannten Versionen aktualisieren, automatische Updates aktivieren und regelmaessig nach Sicherheits-Patches suchen. Organisationen sollten den Update-Status zentral ueber MDM-Loesungen pruefen, den Zugriff auf sensible Daten von nicht gepatchten Endgeraeten einschraenken und Browser-Traffic auf Anomalien uebwachen. Wer Patch-Management, Angriffserkennung und Sicherheitsbewusstsein der Nutzer als zusammenhaengende Aufgabe versteht, reduziert nicht nur das Risiko durch einzelne WebKit-Exploits, sondern erhoeht die gesamte Cyber-Resilienz seiner Umgebung nachhaltig.
