iOS 26.3 und iPadOS 26.3 schließen aktiv ausgenutzte Sicherheitslücke

Apple hat mit iOS 26.3 und iPadOS 26.3 eine umfangreiche Sammlung sicherheitsrelevanter Fehlerkorrekturen veröffentlicht. Neben mehreren Privilegieneskalationen im Kernel und in CoreServices steht eine Schwachstelle im Systemdienst „dyld“ im Zentrum des Updates. Nach Unternehmensangaben gibt es Hinweise darauf, dass diese Lücke vor iOS 26 bereits gegen ausgewählte Zielpersonen eingesetzt wurde.

dyld: Speicherbeschädigung mit realem Missbrauch

Die unter CVE-2026-20700 geführte Schwachstelle betrifft den dynamischen Linker „dyld“. Dieser Prozess lädt und verknüpft Systembibliotheken beim Start von Apps. Ein Fehler im Speichermanagement eröffnete die Möglichkeit, manipulierte Zustände zu erzeugen, die in der Folge zur Ausführung von Code führen konnten. Apple bleibt bei der Beschreibung zurückhaltend, bestätigt jedoch, dass der Fehler in hochgradig zielgerichteten Angriffen gegen einzelne Personen ausgenutzt worden sein soll. Die Meldung stammt von der Google Threat Analysis Group. Dass ein zentraler Systemprozess betroffen ist, macht die Lücke technisch relevant – weniger wegen der Masse, sondern wegen der Qualität möglicher Angriffe.

Kernel und CoreServices: Rechteausweitung in mehreren Varianten

Darüber hinaus schließt Apple mehrere Fehler, über die Apps ihre Privilegien erweitern konnten. Betroffen sind unter anderem Kernel-Komponenten, CoreServices, libxpc sowie Teile von Messages und Shortcuts. Die Schwachstellen reichen von Race Conditions über fehlerhafte Pfadprüfungen bis hin zu unzureichend validierten Umgebungsvariablen. In einzelnen Konstellationen war ein Sandbox-Ausbruch möglich, in anderen der Zugriff auf sensible Systembereiche oder sogar Root-Rechte. Solche Fehler sind für sich genommen nicht zwangsläufig kritisch – in Kombination mit weiteren Schwachstellen können sie jedoch Teil einer vollständigen Angriffskette sein.

WebKit und Medienverarbeitung

Weitere Korrekturen betreffen WebKit. Manipulierte Webinhalte konnten Abstürze auslösen oder Speicherinhalte offenlegen. Gerade im Browserkontext gelten solche Fehler als klassische Einstiegspunkte. Auch ImageIO, CoreAudio und CoreMedia wurden überarbeitet. Präparierte Bild- oder Mediendateien konnten zuvor Speicherfehler oder Prozessabbrüche verursachen. Teilweise war eine Offenlegung von Speicherbereichen nicht auszuschließen.

Netzwerk-Stack und Bluetooth

Im Bluetooth-Stack sowie im Wi-Fi-Subsystem beseitigt Apple weitere Fehler. Je nach Angriffsszenario waren Denial-of-Service-Zustände oder Eingriffe in den Netzwerkverkehr denkbar. Auch hier handelt es sich um typische Robustheits- und Validierungsprobleme in systemnahen Komponenten.

Zugriff bei physischem Gerätezugang

Mehrere Korrekturen betreffen Situationen mit physischem Zugriff auf ein gesperrtes Gerät. In bestimmten Konstellationen konnten Inhalte über Accessibility-Funktionen, Screenshots oder die Fotoanzeige sichtbar werden. Diese Szenarien setzen unmittelbaren Gerätezugang voraus, sind aber aus forensischer oder zielgerichteter Angriffsperspektive relevant.