Apple startet neue Sicherheitsfunktion: WebKit-Lücke wird erstmals per Hintergrund-Update geschlossen
Apple hat erstmals ein Sicherheitsupdate über sein neues System „Background Security Improvements“ ausgeliefert. Der Patch schließt eine Schwachstelle in der WebKit-Engine, die unter der Kennung CVE-2026-20643 geführt wird. Betroffen sind iPhones, iPads und Macs – und damit praktisch alle Apple-Geräte, die Webseiten anzeigen.
WebKit-Fehler kann Same-Origin-Policy umgehen
Die Sicherheitslücke befindet sich in der Navigation API von WebKit. Angreifer konnten damit die sogenannte Same-Origin-Policy umgehen – eines der wichtigsten Sicherheitsprinzipien des Webs. Diese Regel verhindert normalerweise, dass eine Website auf Daten anderer Domains zugreifen kann.
Durch den Fehler konnte manipuliertes Web-Content Cross-Origin-Navigation ausnutzen und möglicherweise Daten aus anderen Sessions oder Webseiten auslesen. Der Bug wurde vom Sicherheitsforscher Thomas Espach entdeckt.
Apple hat die Schwachstelle mit einer verbesserten Eingabevalidierung geschlossen.
Update ohne Neustart: Apple ändert sein Sicherheitsmodell
Der Patch ist nicht nur wegen der Lücke interessant. Apple hat ihn erstmals über das neue System „Background Security Improvements“ verteilt. Damit können einzelne Systemkomponenten aktualisiert werden, ohne dass Nutzer ein komplettes Betriebssystem-Update installieren oder ihr Gerät neu starten müssen.
Die Technik wurde mit iOS 26.1, iPadOS 26.1 und macOS 26.1 eingeführt. Sie erlaubt Apple, sicherheitsrelevante Teile wie WebKit, Safari oder Systembibliotheken unabhängig vom normalen Update-Zyklus zu patchen.
Für kritische Browser- oder Netzwerk-Fehler kann Apple damit künftig deutlich schneller reagieren.
Warum ein Update trotzdem wichtig bleibt
Trotz der neuen Hintergrund-Patches empfiehlt Apple, Geräte weiterhin auf die aktuelle Systemversion zu aktualisieren. Der Fix ist Teil der Versionen iOS 26.3.1, iPadOS 26.3.1 sowie macOS 26.3.1 und macOS 26.3.2.
Viele Apple-Geräte laufen noch auf älteren Versionen. Gerade Browser-Engines gehören jedoch zu den häufigsten Angriffszielen, weil praktisch jede Webseite potenziell einen Exploit auslösen kann.
Ein Update schließt deshalb nicht nur diese konkrete WebKit-Lücke, sondern auch weitere Sicherheitsprobleme, die im Laufe eines Release-Zyklus behoben wurden.
Was bedeutet das „(a)“ hinter der iOS-Version?
Einige Nutzer sehen nach dem Update eine Versionsnummer wie „iOS 26.3.1 (a)“. Das zusätzliche „(a)“ steht für ein sogenanntes Rapid- oder Background-Security-Update. Apple nutzt diese Kennzeichnung für kleine Sicherheits-Patches, die zwischen den normalen Betriebssystem-Updates ausgeliefert werden.
Die Buchstaben funktionieren dabei wie eine zusätzliche Patch-Stufe. Nach einem regulären Systemupdate kann Apple weitere Sicherheitsverbesserungen nachreichen, ohne die komplette Version erneut zu veröffentlichen.
Typische Beispiele:
iOS 26.3.1
Basisversion des Betriebssystems.
iOS 26.3.1 (a)
Erster Hintergrund-Sicherheits-Patch nach der Veröffentlichung.
iOS 26.3.1 (b)
Zweiter zusätzlicher Sicherheitsfix.
iOS 26.3.1 (c)
Weitere nachträgliche Sicherheitsverbesserung.
Diese Micro-Updates betreffen meist einzelne Komponenten wie die WebKit-Browserengine, Safari oder Systembibliotheken. Sie werden im Hintergrund installiert und benötigen normalerweise keinen vollständigen Systemneustart.
Apple kann damit kritische Sicherheitslücken deutlich schneller schließen, ohne auf ein großes Betriebssystem-Update warten zu müssen.
Auch alternative Browser sind betroffen
Viele Nutzer glauben, dass sie durch einen Wechsel des Browsers geschützt sind. Auf Apple-Geräten ist das jedoch ein Irrtum: Alle Browser müssen die WebKit-Engine verwenden. Das gilt sowohl für Safari als auch für Chrome oder Firefox auf iOS und iPadOS.
Eine Schwachstelle in WebKit betrifft daher praktisch jeden Browser auf Apple-Geräten.
Einordnung: Apple wird bei Sicherheitsupdates deutlich schneller
Mit „Background Security Improvements“ bewegt sich Apple stärker in Richtung eines modularen Sicherheitsmodells. Einzelne Komponenten können künftig unabhängig vom Betriebssystem gepatcht werden. Dadurch lassen sich kritische Sicherheitslücken schneller schließen, ohne auf große Systemupdates warten zu müssen.
Für Nutzer bedeutet das langfristig mehr Schutz – besonders bei Browser- und Web-Technologien, die täglich Angriffen ausgesetzt sind.
Wer sicher gehen will, sollte dennoch prüfen, ob sein Gerät auf iOS 26.3.1, iPadOS 26.3.1 oder macOS 26.3.1 aktualisiert ist und automatische Sicherheitsupdates aktiviert sind.