Apple hat mit den Updates iOS 18.6, iPadOS 18.6 und macOS Sequoia 15.6 eine wichtige Sicherheitslücke geschlossen, die zuvor in Angriffen auf Chrome-Nutzende ausgenutzt wurde. Das Update behebt eine Zero-Day-Schwachstelle, die es Angreifenden ermöglichte, die Sicherheitsmechanismen von Chrome zu umgehen, wie Bleeping Computer berichtet.
- iOS 18.6 schließt Zero-Day-Lücke CVE-2025-6558, die Chrome-Angriffe ermöglichte.
- Über 20 weitere Sicherheitsfixes in iOS 18.6, über 80 in macOS Sequoia 15.6.
- Safari-Nutzende waren nur von Abstürzen betroffen, nicht von Angriffen.
Schwerwiegende Zero-Day-Lücke in Open-Source-Code entdeckt
Die als CVE-2025-6558 bezeichnete Sicherheitslücke befand sich in Open-Source-Code, der sowohl von Google Chrome als auch von Apple-Software verwendet wird. Angreifende konnten über speziell präparierte HTML-Seiten beliebigen Code ausführen und dabei Chromes Sandbox-Schutz umgehen. Google hatte die Lücke bereits am 15. Juli geschlossen und bestätigt, dass sie aktiv ausgenutzt wurde.
Bei Safari-Nutzenden führte die Schwachstelle „lediglich“ zu unerwarteten Abstürzen. Apple gab an, dass keine Hinweise auf Angriffe gegen Safari-Nutzende vorliegen. Die Auswirkungen beschränkten sich hauptsächlich auf Chrome, wo die Sicherheitslücke deutlich schwerwiegendere Folgen hatte.
Eine Zero-Day-Schwachstelle ist eine Sicherheitslücke in Software, die den Herstellern noch nicht bekannt ist oder für die noch kein Patch verfügbar ist. Angreifende können diese Lücken ausnutzen, bevor sie geschlossen werden. Der Name kommt daher, dass Entwickelnde null Tage Zeit hatten, die Schwachstelle zu beheben.
Umfassende Sicherheitsupdates für alle Plattformen
Neben der Chrome-Zero-Day-Lücke behebt iOS 18.6 über 20 weitere Sicherheitsprobleme. Dazu gehören Schwachstellen in der Barrierefreiheit, die dazu führen könnten, dass VoiceOver Passcodes vorliest, sowie Probleme bei der Verarbeitung von Audiodateien, die zu Speicherfehlern führen können.
Das Update enthält acht WebKit-bezogene Korrekturen, die das Preisgeben sensibler Nutzerdaten verhindern, Safari-Abstürze beheben und Speicherfehler beseitigen. Für iPad-Nutzende, die nicht auf iPadOS 18.6 aktualisieren können, steht iPadOS 17.7.9 mit wichtigen Sicherheitskorrekturen zur Verfügung.
macOS Sequoia 15.6 mit über 80 Sicherheitskorrekturen
macOS Sequoia 15.6 schließt sogar noch mehr Sicherheitslücken – über 80 Schwachstellen wurden behoben. Die Korrekturen betreffen wichtige Systemkomponenten wie das Dock, die App „Wo ist?“, Notizen, Safari, Spotlight und die Systemeinstellungen.
Nutzende älterer Mac-Modelle, die macOS Sequoia nicht ausführen können, erhalten mit macOS Sonoma 14.7.7 und macOS Ventura 13.7.7 ebenfalls wichtige Sicherheitsupdates. Diese stellen sicher, dass auch ältere Systeme vor bekannten Bedrohungen geschützt bleiben.
Sofortige Installation empfohlen
Google hat noch keine technischen Details zur Chrome-Zero-Day-Lücke veröffentlicht. Das Unternehmen will weitere Informationen erst dann preisgeben, wenn die meisten Nutzenden ihre Geräte aktualisiert haben. Chrome-Nutzende sollten daher umgehend die neueste Browser-Version installieren.
Apple empfiehlt generell, Geräte stets mit der aktuellsten Software zu betreiben. Die regelmäßige Installation von Updates gehöre zu den wichtigsten Maßnahmen für die Sicherheit von Apple-Produkten. Neben den genannten Updates hat Apple auch visionOS 2.6, tvOS 18.6 und watchOS 11.6 veröffentlicht, die jeweils zwischen 17 und 19 Sicherheitskorrekturen enthalten.
