Eine Sicherheitslücke in den Betriebssystemen von iPhones, iPads und Mac-Laptops ermöglicht das Umgehen von eingebauten Sicherheitsvorkehrungen in Webbrowsern.

Hohes Risiko beim Aufruf präparierter Websites

Die Schwachstelle CVE-2026-20643, die vom BSI mit „hohem“ Risiko bewertet wird, betrifft alle Betriebssystemversionen von iOS, iPadOS und macOS bis (ausschließlich) 26.3.1. Angreifer können die Sicherheitslücke ausnutzen um die Same-Origin-Policy zu umgehen.

Die Same-Origin-Policy ist ein im Webbrowser implementiertes Konzept, welches verhindert, dass eine von Nutzer*innen aufgerufene Website auf Informationen anderer Websites zugreifen kann. Funktioniert diese Konzept nicht, könnte der Aufruf einer böswillig gestalteten Website beispielsweise dazu führen, dass Angreifer Daten des Online-Bankings oder von Social Media einsehen können, sofern diese Websites ebenfalls geöffnet sind. Darüber hinaus sind – in der Theorie – auch gefälschte „Cross-Site-Requests“ möglich, bei denen Angreifer Aktionen auf den weiteren Websites ausführen, zum Beispiel eine Überweisung im aktiven Online-Banking.

Automatische Updates schließen die Sicherheitslücke

Ein Update zur Schließung der Lücke steht als “Background Security Improvement“ bereit, welches automatisch installiert wird, wenn Nutzer*innen automatische Updates auf ihrem Gerät aktiviert haben. Beim iPhone findest Du diese Einstellung unter Einstellungen ->  Datenschutz & Sicherheit -> Im Hintergrund ausgeführte Sicherheitsverbesserungen.

(Der Beitrag wurde um 12:04 aktualisiert und der Pfad zu den Einstellungen korrigiert nach Hinweis eines Nutzers – Vielen Dank!)