Hinter den neuen Funktionen von iOS 26.5 steckt ein zweites, weniger sichtbares Paket: Apple hat mit dem Update mehr als 50 dokumentierte Sicherheitslücken im iPhone-System geschlossen. Die Bandbreite reicht vom Kernel über Bildverarbeitung bis zu App-Sandbox-Ausbrüchen – und macht das Update auch für Nutzer attraktiv, die mit den Feature-Neuerungen wenig anfangen können.
Mit der Freigabe von iOS 26.5 hat Apple parallel zu den neuen Features wie der RCS-Verschlüsselung und überarbeiteten Hintergrundbildern eine umfangreiche Liste an Sicherheitsfixes veröffentlicht. Wie üblich bei Apple-Updates erschien die Aufstellung erst nach dem Rollout – Apple gibt Details zu Schwachstellen grundsätzlich erst preis, wenn Patches verfügbar sind. Die nun publizierte Liste zeigt, dass das Update technisch deutlich mehr Arbeit war als die Versionsnummer vermuten lässt.
Mehr als 50 Schwachstellen in einem Update
Die Sicherheitsnotizen von Apple listen für iOS 26.5 über 50 einzelne Schwachstellen mit eigener CVE-Nummer auf. Jede dieser Lücken ist konkret dokumentiert: Welche Komponente betroffen war, welche Folge ein Angriff hätte haben können und welche Maßnahme den Fehler behebt. Die schiere Anzahl ist für ein Punkt-Update bemerkenswert und signalisiert, dass Apple bei iOS 26.5 nicht nur Features ausgerollt, sondern parallel große Teile des Systems gehärtet hat.
Apple selbst verweist auf seine zentrale Übersichtsseite für Sicherheits-Releases, auf der alle aktuellen Patch-Notes laufend gepflegt werden. Wer einzelne CVE-Einträge nachschlagen möchte, findet sie dort vollständig.
Welche Bereiche betroffen waren
Die Liste deckt zentrale Systembestandteile ab. Im Kernel, also der untersten Schicht des Betriebssystems, wurden mehrere Schwachstellen beseitigt, mit denen Angreifer in bestimmten Szenarien Speicherinhalte auslesen oder den Systemzustand stören konnten. Im Bildverarbeitungs-Framework ImageIO hat Apple mehrere Pufferüberlauf-Probleme geschlossen, die durch manipulierte Bilddateien ausgelöst werden konnten. Auch AppleJPEG, CoreAnimation und das Audio-Subsystem hatten Schwachstellen, bei denen speziell präparierte Mediendateien Prozesse abstürzen oder Speicher beschädigen lassen konnten.
Zusätzlich gab es Fixes im Bereich App Intents, durch die eine bösartige App aus ihrer Sandbox hätte ausbrechen können, sowie in den Accounts- und FileProvider-Komponenten, wo Apps potenziell auf sensible Nutzerdaten zugreifen konnten. Im IOHIDFamily-Bereich wurde sogar eine Schwachstelle gemeldet, die das Auslesen der Kernel-Speicheraufteilung ermöglicht hätte – ein klassischer Ausgangspunkt für komplexere Angriffsketten.
Was die Häufung der Fixes bedeutet
50 Schwachstellen in einem einzigen Update klingen nach viel, sind im Apple-Kosmos aber kein Alarmzeichen. Punkt-Releases bündeln in der Regel Fixes, die seit dem letzten Update gesammelt wurden – teils aus internen Audits, teils aus dem Apple Security Bounty Program, teils aus Hinweisen externer Forscher. Die Patches sind also weniger eine Reaktion auf akute Angriffswellen als ein geplantes Pflegepaket. Wie Apple solche Patch-Zyklen organisiert und warum regelmäßige Sicherheitsupdates für jedes iPhone wichtig sind, haben wir im Apple-Sicherheitsupdates-Leitfaden ausführlich erklärt.
Trotzdem zeigt die Häufung, wie breit die Angriffsfläche moderner Smartphone-Betriebssysteme inzwischen ist. Vom Audiocodec bis zur Sandbox-Logik – jede Schicht hat eigene Sicherheitsanforderungen, und Apple muss alle parallel pflegen.
Hinweis auf staatliche Angreifer
Mehrere CVE-Einträge stammen von Forschern, die Apple namentlich nennt – darunter auch ein Eintrag, der der Threat Analysis Group von Google zugeschrieben wird. Diese Gruppe ist spezialisiert auf staatliche und kommerzielle Spyware-Operationen. Wenn Hinweise auf Schwachstellen von dort kommen, deutet das in der Regel auf Mechanismen hin, die im Umfeld gezielter Angriffe gegen Einzelpersonen relevant sind. Apple selbst markiert in seinen Sicherheitsnotizen üblicherweise, wenn eine Lücke aktiv ausgenutzt wurde – die nun veröffentlichten Einträge dokumentieren, wer welche Schwachstelle gemeldet hat.
Für die meisten Nutzer ist diese Detailtiefe nicht relevant. Sie ist aber ein Indikator dafür, dass die Updates nicht nur Bequemlichkeits-Bugs adressieren, sondern auch Vektoren schließen, die in professionellen Angriffsszenarien eine Rolle spielen.
Updates auch für ältere Systeme
Parallel zu iOS 26.5 hat Apple Sicherheitsupdates für ältere Betriebssystemversionen veröffentlicht – darunter iOS 18.7.9, iPadOS 17.7.11, iOS 16.7.16 und iOS 15.8.8 sowie passende Versionen für macOS Sequoia und Sonoma. Mit Ausnahme von iOS 18.7.9 enthalten diese Releases jeweils nur einen einzigen Sicherheitsfix: Es handelt sich um den Patch, der bereits mit iOS 26.4.2 eine Schwachstelle bei gelöschten Benachrichtigungen behoben hatte und nun auch für ältere Geräte nachgeliefert wird.
Damit profitieren auch Nutzer von dem Sicherheits-Patch, deren Geräte das Upgrade auf iOS 26 nicht mehr erhalten. Dieser Ansatz ist eine bewusste Politik Apples, kritische Fixes auch in ältere Branches einzuspielen.
Update jetzt installieren
Wer iOS 26.5 noch nicht installiert hat, sollte es zeitnah nachholen – auch wenn die Feature-Neuerungen nicht im Fokus stehen. Über Einstellungen > Allgemein > Softwareupdate lässt sich der Download direkt anstoßen. Die Installation läuft auf allen aktuell unterstützten iPhones (iPhone 11 und neuer) sowie auf den im Update-Zeitraum unterstützten iPads.
Für Nutzer mit besonderem Sicherheitsbedarf – etwa Personen, die berufsbedingt häufiger im Visier von Angreifern stehen – ist die zügige Installation ein zentraler Schutzfaktor. Apples Updates sind in solchen Konstellationen oft die wichtigste Verteidigungslinie.
Sicherheitsfixes als unterschätzter Update-Grund
Die schiere Zahl der geschlossenen Lücken in iOS 26.5 macht deutlich, dass Sicherheitsupdates nicht der Nebenschauplatz eines Releases sind, sondern dessen Rückgrat. Wer mit Begeisterung auf neue Features wartet, sollte den Patch-Charakter eines Updates mindestens genauso ernst nehmen – gerade weil Apple die Details zu Schwachstellen erst nach dem Rollout offenlegt und die Liste dann zeigt, wie viel sich unter der Oberfläche bewegt hat. (Bild: Shutterstock / 1st footage)
Nie wieder einen Artikel verpassen: Apfelpatient bietet kostenlose Push-Benachrichtigungen als Web-App – direkt auf den Homescreen, ganz ohne App Store. Alle Infos zur Einrichtung gibt es hier.
- RCS-Nachrichten werden verschlüsselt: Apple startet Beta in iOS 26.5
- iOS 26.5 ist da: Alle Neuerungen im Überblick
- WhatsApp Plus startet auf dem iPhone: Was das Abo bietet
- The Studio gewinnt BAFTA 2026 und wird zur meistprämierten Serie des Jahres
- Apple TV ehrt britisches Fernsehen mit BAFTA TV Brunch in London
- Apple und Intel einigen sich auf Chipfertigungs-Deal
- Nintendo erhöht Preise für Switch 2 weltweit
- Wedbush hebt Apple-Kursziel auf 400 Dollar – größter Sprung seit Jahren
- EU-Debatte: VPN-Dienste geraten unter Beobachtung
- Apple warnt vor Hintertür-Gesetz in Kanada
- Tim Cook auf Trumps China-Reise – wie der Apple-Chef seine letzten Monate nutzt
- Perplexity startet neue Mac-App mit Personal Computer für alle Pro-Nutzer
- Filmed on iPhone: Vier indische Kurzfilme zeigen das Potenzial des iPhone 17 Pro Max
- Anthropic erweitert Claude Managed Agents um drei neue Funktionen
- Apple TV kündigt Doku-Serie über die UConn Huskies an
- Apple verknüpft Indien-Strategie mit Klimazielen
- Apple TV gibt grünes Licht für „Disavowed“: Neue Thriller-Serie mit James Marsden
- Apple sichert sich 48 Prozent des globalen Smartphone-Umsatzes
- Supreme Court lehnt Apples Eilantrag ab: Epic-Verfahren geht zurück an die Vorinstanz
- Disney+ wird zur Super-App: Streaming ist erst der Anfang
