Apple hat die vollständigen Sicherheitsinhalte zu Safari 26.5 veröffentlicht und damit eine ganze Reihe ernster Schwachstellen offengelegt. Eine davon hätte präparierten Webseiten erlaubt, sensible Nutzerdaten abzugreifen – andere konnten Safari oder den darunterliegenden Browserprozess zum Absturz bringen. Insgesamt patcht Apple 20 WebKit-Schwachstellen plus einen WebRTC-Fehler.
Das Update kommt nur zwei Tage nach dem Rollout der großen Plattform-Updates: Anfang dieser Woche hatte Apple iOS 26.5 nach Abschluss der Beta-Phase finalisiert und parallel auch die macOS-Ausgaben aktualisiert. Safari 26.5 wird separat für macOS Sonoma und macOS Sequoia ausgeliefert und enthält die Sicherheitspatches, die Apple typischerweise gebündelt nach den OS-Releases dokumentiert. Auf neueren Systemen ist Safari 26.5 bereits Teil von macOS 26.5, das eigenständige Update richtet sich an Nutzer der beiden älteren macOS-Versionen.
Was Safari 26.5 konkret behebt
Im Mittelpunkt steht WebKit, Apples Browser-Engine, die auch in iOS und iPadOS zum Einsatz kommt. Insgesamt schließt Apple 20 WebKit-Schwachstellen und einen WebRTC-Bug, der einen unerwarteten Prozessabsturz auslösen konnte.
Die schwerwiegendste Lücke ist als CVE-2026-28962 dokumentiert: Präparierte Webinhalte hätten sensible Nutzerinformationen offenlegen können. Apple hat das Problem mit verbesserten Zugriffsbeschränkungen behoben. Gemeldet wurde der Fehler von mehreren Forschern, darunter Luke Francis und Vitaly Simonovich.
Zwei weitere WebKit-Patches betreffen die Content Security Policy. Sowohl CVE-2026-43660 als auch CVE-2026-28907 hätten dazu führen können, dass die CSP nicht korrekt durchgesetzt wird – ein zentraler Schutzmechanismus, der verhindert, dass eingeschleuste Skripte in einer Webseite ausgeführt werden. Apple hat beide Schwachstellen mit verbesserter Logik beziehungsweise verbesserter Eingabevalidierung gestopft.
Mehrere Crash-Lücken in WebKit
Den größten Anteil an den behobenen Fehlern stellen Schwachstellen, über die manipulierte Webinhalte Safari oder den Renderprozess zum Absturz bringen konnten. Darunter fällt unter anderem CVE-2026-43658, ein Speicherproblem, das einen direkten Safari-Absturz auslösen konnte.
Eine längere Liste an CVEs (unter anderem CVE-2026-28905, CVE-2026-28847, CVE-2026-28904, CVE-2026-28955, CVE-2026-28903, CVE-2026-28953, CVE-2026-28902, CVE-2026-28901 und CVE-2026-28913) wurde gemeinsam adressiert: Alle konnten unerwartete Prozessabstürze provozieren und wurden mit verbessertem Speicherhandling beziehungsweise verbesserter Eingabevalidierung behoben.
Besonders erwähnenswert ist CVE-2026-28883, eine sogenannte Use-after-free-Schwachstelle. Bei dieser Fehlerklasse greift Code auf bereits freigegebenen Speicher zu – ein klassisches Einfallstor für Angreifer, da sich solche Lücken häufig zur Code-Ausführung eskalieren lassen. Apple hat das Problem mit verbessertem Speichermanagement behoben. Zwei weitere Use-after-free-Bugs (CVE-2026-28947 und CVE-2026-28946) flankieren den Patch.
Zugriff auf sensible Daten und iFrame-Trick
Ein eigener Patch betrifft CVE-2026-28958: Hier hätte eine App auf sensible Nutzerdaten zugreifen können. Apple hat das mit verbessertem Datenschutz adressiert.
Interessant ist auch CVE-2026-28971: Ein bösartiges iFrame hätte die Download-Einstellungen einer anderen Webseite missbrauchen können. Apple hat hier die UI-Behandlung verbessert. Solche Schwachstellen sind besonders relevant, weil iFrames auf vielen Seiten eingebettet sind und Nutzer den Ursprung der ausgelösten Aktion oft nicht erkennen.
Der WebRTC-Patch
Neben den WebKit-Lücken schließt Apple auch einen WebRTC-Bug (CVE-2026-28944), der einen unerwarteten Prozessabsturz auslösen konnte. WebRTC ist die Technologie hinter Echtzeitkommunikation im Browser – also Videoanrufen, Audio-Streams und Peer-to-Peer-Verbindungen. Gemeldet wurde der Fehler unter anderem von Forschern bei Palo Alto Networks.
Anthropic-Forscher in der CVE-Liste
Bemerkenswert ist, dass unter den CVE-Meldern bei CVE-2026-28942 mit Milad Nasr und Nicholas Carlini auch zwei Anthropic-Forscher auftauchen, die laut Apple-Notiz mit Claude gearbeitet haben. Das passt zum Cybersecurity-Projekt, das Apple und Anthropic vor Kurzem gemeinsam gestartet haben und bei dem KI-Modelle gezielt zur Suche nach Schwachstellen eingesetzt werden. In den Sicherheitsinhalten zu Safari 26.5 ist nun erstmals ein konkretes Ergebnis aus dieser Zusammenarbeit dokumentiert.
Warum dieses Update wichtig ist
Browser-Schwachstellen gehören zu den lukrativsten Zielen für Angreifer, weil sie sich häufig allein durch den Besuch einer manipulierten Webseite ausnutzen lassen. WebKit ist in Apples Ökosystem besonders sensibel, weil die Engine nicht nur in Safari läuft, sondern auch in jeder anderen iOS-App, die Webinhalte anzeigt. Sicherheitsupdates wie Safari 26.5 spielen damit eine zentrale Rolle in Apples gestaffeltem Schutzsystem aus Plattform-Updates, Rapid Security Responses und gezielten Patches.
Auch der Zeitpunkt ist kein Zufall: Apple veröffentlicht Sicherheitsinhalte traditionell erst dann, wenn die Patches verteilt sind. Erst danach werden CVE-IDs, Beschreibungen und die Namen der meldenden Forscher offengelegt – ein Vorgehen, das vor Kurzem auch beim Notfall-Patch iOS 26.4.2 sichtbar wurde, der eine vom FBI ausgenutzte Signal-Lücke schloss.
So bekommst du Safari 26.5
Auf macOS Sonoma und macOS Sequoia lässt sich Safari 26.5 separat einspielen. Den Weg in die Software-Aktualisierung in den Systemeinstellungen sollten Mac-Nutzer dieser Versionen jetzt zeitnah gehen. Auf macOS 26 ist Safari 26.5 hingegen bereits Teil des aktuellen Systems und wird automatisch mit dem Plattform-Update ausgeliefert. iOS- und iPadOS-Nutzer profitieren von denselben WebKit-Patches über die jeweiligen Systemupdates.
Apples WebKit-Hygiene wird zur Routine
Safari 26.5 zeigt, wie engmaschig Apple inzwischen am Browser-Unterbau arbeitet – und wie tief externe Sicherheitsforschung in den Prozess eingebunden ist. Mit 20 WebKit-Patches in einem einzigen Update ist die Veröffentlichung kein klassisches Funktions-Release, sondern ein reines Sicherheits-Paket. Für Nutzer älterer macOS-Versionen ist das Einspielen kein Optional, sondern Pflichtprogramm – Browser-Lücken sind einer der häufigsten Wege, über die Angreifer überhaupt erst Fuß auf einem System fassen. (Bild: Shutterstock / Mamun_Sheikh)
- WhatsApp führt Incognito-Chats mit Meta AI ein
- Apple stellt sich an die Seite von Google im EU-DMA-Streit
- „Fútbol is life“ wird Realität: Ted-Lasso-Star Cristo Fernández unterschreibt Profivertrag
- Umfrage: Faltbare Smartphones und KI motivieren kaum zum Wechsel
- Foxconn bestätigt Ransomware-Angriff auf nordamerikanische Werke
- iPhone 17 treibt Apples Marktanteil in den USA weiter nach oben
- Quick Share trifft AirDrop: Google öffnet Datei-Tausch für mehr Android-Geräte
- Apple setzt erstmals KI-generierte Präsentatoren in eigener App ein
- Severance Staffel 3 kommt deutlich schneller als die letzte
- Apple kauft Color.io-Macher Patchflyer für Creator Studio
- Apple Arcade im Mai und Juni: Bluey-Event plus vier neue Titel
- WhatsApp: Beta zeigt nächste Liquid-Glass-Stufe für Chats
- Tim Cook fliegt mit Trump nach China
- OpenAI startet Daybreak als Antwort auf Anthropics Glasswing-Programm
- Apple veröffentlicht Aufzeichnungen vom PPML-Workshop 2026
- Gericht genehmigt Apples Samsung-Antrag im DOJ-Kartellverfahren
- iOS 26.5 öffnet AirPods-Funktionen für Drittanbieter-Wearables in der EU
- iOS 26.5 schließt über 50 Sicherheitslücken auf einen Schlag
- RCS-Nachrichten werden verschlüsselt: Apple startet Beta in iOS 26.5
- iOS 26.5 ist da: Alle Neuerungen im Überblick
