Indiens nationale Cyber-Abwehr schlägt Alarm: Zwei kritische Sicherheitslücken in Apples WebKit-Browserengine werden aktiv für gezielte Spionageangriffe genutzt. Nutzer müssen sofort updaten.

Die Warnung des Indian Computer Emergency Response Team (CERT-In) vom Samstag unterstreicht die globale Dringlichkeit. Die Behörde spricht von "extrem ausgeklügelten" Attacken auf bestimmte Einzelpersonen. Apple hatte die Notfall-Patches für iOS, iPadOS und macOS bereits diese Woche ausgerollt, nachdem die als Zero-Day bekannten Lücken bereits ausgenutzt wurden.

„Extrem ausgeklügelte“ Angriffe auf Einzelpersonen

Bei den Schwachstellen mit den Kennungen CVE-2025-43529 und CVE-2025-14174 handelt es sich um kritische Fehler in WebKit. Diese Engine treibt nicht nur Safari an, sondern rendert alle Webinhalte auf iPhones und iPads. Apples Formulierung, die Lücken seien bei "extrem ausgeklügelten Angriffen auf gezielte Einzelpersonen" ausgenutzt worden, ist ein deutlicher Hinweis.

In der Cybersicherheit deutet diese Sprache meist auf staatlich unterstützte Hacker oder den Einsatz von kommerzieller Spyware hin. „Die Identifizierung von ‚gezielten Einzelpersonen‘ weist typischerweise auf Beteiligung von Anbietern bezahlter Spionagesoftware hin“, analysieren Sicherheitsexperten. Solche hochwertigen Exploits würden oft gegen Journalisten, Dissidenten oder Regierungsbeamte eingesetzt.

So funktionieren die gefährlichen Lücken

Die Schwachstellen ermöglichen es Angreifern, beliebigen Code auf dem Gerät eines Opfers auszuführen – allein durch das Verarbeiten manipulierter Webinhalte. Ein Besuch einer präparierten Website genügt, ohne dass das Opfer weiter interagieren muss.

  • CVE-2025-43529: Eine Use-After-Free-Schwachstelle in WebKit. Dieser Fehlertyp tritt auf, wenn ein Programm weiterhin auf einen Speicherbereich zugreift, nachdem dieser bereits freigegeben wurde. Angreifer können so Daten manipulieren und Schadcode einschleusen. Apple behob das Problem durch verbessertes Speichermanagement.
  • CVE-2025-14174: Eine Speicherbeschädigung (Memory Corruption), die ebenfalls aktiv ausgenutzt wird. Bemerkenswert: Diese Lücke hängt mit einer ähnlichen Schwachstelle in Googles ANGLE-Grafikbibliothek für Chrome zusammen, die der Konzern bereits Anfang Dezember gepatcht hatte.

Die Entdeckung gelang durch die Zusammenarbeit von Apples Sicherheitsteam und der Google Threat Analysis Group (TAG), die für die Aufdeckung staatlicher Hackerangriffe und kommerzieller Spyware bekannt ist.

Globale Alarmstufe: USA und Indien drängen auf Updates

Die indische Warnung folgt auf eine ähnlich dringliche Mitteilung der US-Cybersicherheitsbehörde CISA. Diese hatte CVE-2025-43529 bereits in ihren Katalog bekannt ausgenutzter Schwachstellen (KEV) aufgenommen. Für US-Bundesbehörden gilt eine verbindliche Patch-Frist bis zum 5. Januar 2026.

Obwohl die Frist nur für US-Behörden rechtlich bindend ist, setzt sie einen kritischen Maßstab für private Unternehmen und Privatnutzer weltweit. Das extrem kurze Zeitfenster zeigt die akute Gefahr. „Dass CISA und CERT-In dies innerhalb von Tagen nach dem Patch-Release eskalieren, unterstreicht die Volatilität der Bedrohung“, so Branchenbeobachter. „Wenn WebKit angreifbar ist, ist die Angriffsfläche massiv – es betrifft nicht nur Safari, sondern jede App, die eine Webseite öffnet.“

Was Nutzer jetzt tun müssen

Die Handlungsanweisung ist eindeutig: Sofortiges Update aller Apple-Geräte. Betroffen sind iPhones ab dem Modell 11, verschiedene iPad Pro- und Air-Modelle sowie Macs mit aktuellen Betriebssystemen.

Apple hat folgende Updates bereitgestellt:
* iOS 26.2 und iPadOS 26.2 (sowie iOS 18.7.3 für ältere Geräte)
* macOS Tahoe 26.2
* Safari 26.2 für macOS

Nutzer prüfen ihre Softwareversion unter Einstellungen > Allgemein > Softwareupdate (iOS/iPadOS) oder Systemeinstellungen > Allgemein > Softwareupdate (macOS).

Browser-Engine: Das bevorzugte Ziel von Hackern

Die neuen Zero-Days sind der vorläufige Höhepunkt eines turbulenten Jahres für die Browsersicherheit. 2025 haben Angreifer Browser-Engines wie WebKit und Chromium (Grundlage von Chrome und Edge) verstärkt als Einstiegspunkt für Kompromittierungen ins Visier genommen. Die plattformübergreifende Natur von Komponenten wie ANGLE bedeutet, dass eine einzelne Lücke mitunter Milliarden Geräte in verschiedenen Ökosystemen gefährden kann.

Die Verbindung zwischen der Chrome-Schwachstelle von Anfang Dezember und dem nun gepatchten WebKit-Fehler zeigt die geteilten architektonischen Risiken im modernen Web-Rendering. Die Zusammenarbeit von Tech-Giganten wie Apple und Google bei der Identifizierung solcher gemeinsamen Bedrohungen bleibt die wichtigste Verteidigungslinie gegen ausgeklügelte Cyber-Spionage.