Apple schließt zwei WebKit-Zero-Days: Updates für iOS & macOS
Aktualisiert am December 29, 2025 Lesedauer: 5 Minuten
Apple hat am 12. Dezember 2025 Sicherheitsupdates veröffentlicht, die zwei Zero-Day-Schwachstellen in WebKit beheben. Die Lücken werden als CVE-2025-43529 (Use-after-free, potenziell Codeausführung) und CVE-2025-14174 (Memory Corruption) geführt. Apple weist darauf hin, dass die Probleme in gezielten, technisch anspruchsvollen Angriffen gegen einzelne Personen auf iOS-Versionen vor iOS 26 ausgenutzt worden sein könnten. Für Teams und Lernende ist die Lage klar: Patchen hat Priorität, weil WebKit auf iPhone und iPad praktisch überall steckt.
What happened
Am 12. Dezember 2025 hat Apple iOS 26.2 und iPadOS 26.2 veröffentlicht und dazu ein Sicherheitsdokument mit den behobenen Schwachstellen bereitgestellt (veröffentlicht am 17. Dezember 2025). Darin nennt Apple zwei WebKit-Sicherheitslücken, die als Zero-Days relevant sind, weil Apple von möglicher Ausnutzung in gezielten Angriffen berichtet.
Die erste Schwachstelle ist CVE-2025-43529. Apple beschreibt das Risiko so: Das Verarbeiten speziell präparierter Webinhalte kann zu willkürlicher Codeausführung führen. Technisch handelt es sich um ein Use-after-free-Problem, das Apple nach eigenen Angaben durch verbessertes Speichermanagement behebt. Als Referenz nennt Apple WebKit Bugzilla 302502 und als Quelle unter anderem die Google Threat Analysis Group. Apple ergänzt, dass die Schwachstelle möglicherweise in einem „extremely sophisticated attack“ gegen „specific targeted individuals“ auf iOS-Versionen vor iOS 26 ausgenutzt worden sein könnte.
Die zweite Schwachstelle ist CVE-2025-14174. Hier lautet der Impact in Apples Text: Präparierte Webinhalte können zu Memory Corruption führen. Apple schreibt, die Lücke sei durch verbesserte Validierung behoben und verweist auf WebKit Bugzilla 303614. Als Meldende werden Apple und die Google Threat Analysis Group genannt. Auch bei dieser CVE verwendet Apple denselben Hinweis auf mögliche Ausnutzung in gezielten Angriffen auf iOS-Versionen vor iOS 26.
Auffällig ist, dass Apple in den jeweiligen Einträgen zusätzlich erwähnt, dass auch die jeweils andere CVE-Nummer „in response to this report“ vergeben wurde. Das ist für Incident-Handling relevant, weil es je nach Quelle und Datenbank zu Querverweisen oder abweichender Zuordnung kommen kann.
Welche Updates sind konkret relevant?
- iOS 26.2 und iPadOS 26.2 (Released 12. Dezember 2025) für: iPhone 11 und neuer, iPad Pro 12,9 Zoll (3. Generation und neuer), iPad Pro 11 Zoll (1. Generation und neuer), iPad Air (3. Generation und neuer), iPad (8. Generation und neuer), iPad mini (5. Generation und neuer).
- iOS 18.7.3 und iPadOS 18.7.3 (Released 12. Dezember 2025) für ältere Hardware, u. a.: iPhone XS/XS Max/XR sowie mehrere iPad-Generationen (Apple listet hier auch iPads ab iPad 7. Generation und iPad mini ab 5. Generation).
- macOS Tahoe 26.2 (Released 12. Dezember 2025) enthält die WebKit-Fixes ebenfalls.
- Safari 26.2 (Released 12. Dezember 2025) adressiert die WebKit-Themen auf Macs, die auf macOS Sonoma oder macOS Sequoia laufen.
Why it matters
WebKit ist nicht nur Safari. Auf iPhone und iPad hängt ein großer Teil der täglichen Arbeit an WebKit, auch in Apps. Viele Anwendungen rendern Webinhalte über WebViews (zum Beispiel WKWebView). Eine Schwachstelle im Web-Rendering trifft daher nicht nur „Browser-Nutzer“, sondern kann App-Flows, Login-Strecken, eingebettete Dokus oder Payment-Redirects mitbetreffen, sobald Webcontent im Spiel ist.
Für Lernende ist das ein greifbarer Beleg, warum klassische Speicherfehler (Use-after-free, Memory Corruption) weiter ganz oben auf der Prioritätenliste stehen. Die Begriffe klingen abstrakt, die Konsequenz ist es nicht: Sobald ein Angreifer über präparierte Inhalte einen Crash, Memory Corruption oder sogar Codeausführung in einem Browser-Prozess auslösen kann, verschiebt sich das Risiko von „theoretisch“ zu „operativ“.
Für Teams in der Softwareentwicklung und IT-Security steckt hier eine typische Lektion: Selbst wenn Apple die Ausnutzung als „zielgerichtet“ beschreibt, sollte das nicht zur Entwarnung führen. Sobald Updates veröffentlicht sind, können ungepatchte Geräte zur Angriffsfläche werden, weil sich technische Details durch Patch-Vergleiche besser nachvollziehen lassen. Gerade in gemischten Flotten (BYOD, ältere iPhones, Macs auf unterschiedlichen macOS-Ständen) hängt die reale Sicherheit weniger von Awareness-Mails ab als von sauberer Update-Compliance.
Key numbers
- Release der Fixes: 12. Dezember 2025 (iOS 26.2, iOS 18.7.3, macOS Tahoe 26.2, Safari 26.2).
- Sicherheitsdokumente (Apple Support) veröffentlicht am: 17. Dezember 2025.
- Zero-Day-CVEs: CVE-2025-43529 (Use-after-free, potenziell Codeausführung) und CVE-2025-14174 (Memory Corruption).
- WebKit-Referenzen: Bugzilla 302502 (CVE-2025-43529) und Bugzilla 303614 (CVE-2025-14174).
- Betroffene Baseline laut CSA (Auszug): iPhone 11 und neuer, mehrere iPad-Generationen ab iPad Pro 12,9 Zoll (3. Gen) bzw. iPad (8. Gen).
- Schweregrad: Die Cyber Security Agency of Singapore nennt für CVE-2025-43529 einen CVSSv3.1-Score von 9,8/10; die NVD-Seite zeigt für dieselbe CVE einen CISA-ADP-Score von 8,8 (High).
Context
Apple beschreibt beide Schwachstellen in den Security Notes bewusst knapp. Das ist seit Jahren ein Muster: Details werden häufig erst sehr spät oder gar nicht in voller Tiefe veröffentlicht, um die Ausnutzung ungepatchter Systeme nicht zu erleichtern. Für Engineering-Teams ist das manchmal frustrierend, für Patch-Management aber eigentlich eine Hilfe: Man muss nicht jede Exploit-Kette kennen, um eine Priorisierung zu treffen, wenn „möglicherweise ausgenutzt“ und „Web-Content“ in einem Satz stehen.
Interessant ist außerdem die Verteilung der Fixes: Apple liefert die WebKit-Patches nicht nur über ein iOS-Update aus, sondern parallel über mehrere OS-Versionen. iOS 26.2 deckt die aktuelle Gerätebasis ab (ab iPhone 11), iOS 18.7.3 hält ältere Geräte im Support. Auf dem Mac wird das Thema über macOS Tahoe 26.2 und zusätzlich über Safari 26.2 (für Sonoma und Sequoia) geschlossen. Das ist operativ wichtig, weil „macOS ist gepatcht“ nicht automatisch bedeutet, dass Safari in einer heterogenen Flotte überall auf dem neuesten Stand ist.
Ein weiterer Kontextpunkt: CVE-Querverweise sind im Alltag häufiger, als man denkt. Apple erwähnt in den jeweiligen Einträgen, dass auch die andere CVE-ID „als Reaktion auf diesen Report“ vergeben wurde. Security-Teams sollten deshalb in Tickets und SBOM-Daten nicht nur nach einer CVE suchen, sondern beide IDs abgleichen, wenn sie Reporting und Compliance-Checks bauen.
What’s next
Für Einzelgeräte ist die Maßnahme simpel: Updates installieren.
- iPhone und iPad: Einstellungen, Allgemein, Softwareupdate und auf iOS/iPadOS 26.2 bzw. bei älteren Geräten auf iOS/iPadOS 18.7.3 aktualisieren.
- Mac: Systemeinstellungen, Allgemein, Softwareupdate und auf macOS Tahoe 26.2 aktualisieren.
- Macs auf Sonoma oder Sequoia: Safari auf Safari 26.2 aktualisieren.
Für Teams lohnt sich ein kurzer, praktischer Plan:
- Gerätebestand segmentieren: iOS 26.x vs. iOS 18.x, macOS Tahoe vs. Sonoma/Sequoia.
- Mindestversionen definieren: iOS 26.2 oder iOS 18.7.3, macOS Tahoe 26.2, Safari 26.2.
- MDM-Compliance erzwingen: Updates nicht nur „empfehlen“, sondern mit Fristen und Blockern koppeln, wo das rechtlich und organisatorisch möglich ist.
- App-Risiko reduzieren: In iOS-Apps WebViews restriktiv einsetzen, Domains whitelisten, Redirects und Deep-Link-Handling besonders prüfen.
- Kommunikation kurz halten: Ein Satz reicht oft: „WebKit Zero-Days, bitte bis Datum X updaten“, plus Link zu den offiziellen Apple Security Notes.
How to go deeper
- Cybersecurity-Bootcamp der Code Labs Academy: Patch- und Incident-Workflows praxisnah lernen
- Webentwicklung-Bootcamp der Code Labs Academy: sichere Web-Patterns und Deployment-Grundlagen
- Kostenlose Kurse im Learning Hub Skill-Refresh für Security und Engineering