iOS 26.5 und macOS 26.5: Über 50 Sicherheitslücken geschlossen

Wenn du deinen Sperrbildschirm aufweckst und plötzlich die kleine „1“ am Einstellungs-Symbol siehst, denkst du wahrscheinlich nicht sofort an einen Großeinsatz von Apples Sicherheitsteam. Genau das ist mit iOS 26.5, iPadOS 26.5 und macOS Tahoe 26.5 aber passiert. Die offiziellen Release Notes lesen sich harmlos: Ende-zu-Ende-Verschlüsselung für RCS-Nachrichten, frische Pride-Wallpaper, in den USA ein neues Empfehlungssystem in Apple Maps. Klingt nach Pflichtprogramm. Was Apple unter dem nüchternen Standardsatz zu „wichtigen Sicherheitsverbesserungen“ versteckt, hat es jedoch ordentlich in sich.

Über 50 dokumentierte Schwachstellen schließt Apple mit diesem Update auf einen Schlag. Dazu zählen Lücken im Kernel, im Browser-Engine WebKit, in System-Diensten wie Shortcuts oder dem FileProvider und in einer ganzen Reihe weiterer Komponenten. Wenn du ein iPhone, iPad oder einen Mac nutzt, lohnt sich ein genauerer Blick. Und falls du das Update noch nicht installiert hast: Spätestens nach diesem Artikel solltest du es nachholen.

Was iOS 26.5 und macOS 26.5 unter der Haube reparieren

Die Versionen wurden am 11. Mai 2026 veröffentlicht. Apple bündelt dabei wie üblich funktionale Neuerungen mit einem ganzen Paket an Sicherheitspatches. Letztere sind die eigentliche Story. Sie betreffen sowohl alltägliche Schutzmechanismen, etwa wie Apps auf deine Daten zugreifen dürfen, als auch tiefere Systemebenen wie den Kernel selbst.

Ein paar Zahlen zur Einordnung: Die iOS-Liste umfasst mehrere Dutzend einzeln vergebene CVE-Kennungen. macOS Tahoe 26.5 liegt sogar noch etwas darüber, weil hier zusätzliche Mac-spezifische Komponenten wie CUPS (das Drucksystem), HFS oder die GPU-Treiber gepatcht wurden. Das Spektrum reicht von Denial-of-Service-Lücken, also Abstürzen, bis hin zu echten Klassikern wie Rechteausweitung durch eine schadhaft präparierte App.

WebKit: Wieso dieser Block dich besonders interessieren sollte

Der größte einzelne Themenblock im Sicherheitsdokument ist WebKit, die Engine hinter Safari. Und hier kommt der Punkt, den viele unterschätzen: WebKit steckt nicht nur in Safari. Wenn du eine App öffnest, die Web-Inhalte anzeigt, etwa Twitter, Reddit, deine Banking-App oder einen Newsreader, läuft im Hintergrund fast immer WebKit mit. Auf iPhone und iPad ist das bis heute systemweit so. Eine Lücke im Browser-Unterbau betrifft damit deutlich mehr als nur das Safari-Symbol auf deinem Homescreen.

In iOS 26.5 schließt Apple unter anderem mehrere Speicher-Fehler, die durch manipulierte Webinhalte ausgelöst werden konnten. Konkret bedeutet das: Eine präparierte Website hätte unter bestimmten Umständen Safari oder die App, die WebKit nutzt, zum Absturz bringen können. In anderen Fällen ließen sich Sicherheitsregeln umgehen, etwa die Content Security Policy, die normalerweise verhindert, dass eine Webseite ungewollt Skripte aus fremden Quellen lädt. Eine weitere Schwachstelle hätte den Zugriff auf sensible Nutzerdaten ermöglicht.

Auch wenn das im Alltag erstmal abstrakt klingt: Genau diese Art von Lücken wird von Angreifern gerne miteinander kombiniert, um aus einer harmlos aussehenden Website am Ende echte Kontrolle über Daten oder Prozesse zu gewinnen.

Schwachstellen im Kernel: Wenn Apps zu tief eingreifen

Direkt nach WebKit folgt der Kernel, das absolute Herzstück von iOS und macOS. Apple beschreibt dort eine ganze Reihe behobener Probleme. Eine kompromittierte App hätte theoretisch Kernel-Speicher auslesen, in Kernel-Speicher schreiben oder im schlimmsten Fall Root-Rechte erlangen können. Außerdem ließen sich Systemabstürze provozieren oder das interne Speicher-Layout ausspähen, was wiederum spätere Angriffe einfacher macht.

Eine besonders bemerkenswerte Lücke betrifft macOS Tahoe direkt: Ein präpariertes Disk-Image hätte unter bestimmten Umständen die Gatekeeper-Prüfung umgehen können. Gatekeeper ist genau jener Mechanismus, der dich davor schützt, dass nicht signierte oder manipulierte Software einfach so ausgeführt wird. Wenn der ausgehebelt wird, fällt eine zentrale Verteidigungslinie deines Macs weg.

Datenschutz, Shortcuts und Bildschirmaufnahmen

Spannend ist auch, wie viele Lücken im Bereich Privatsphäre stecken. Apple listet Probleme bei Komponenten wie Accounts, App Intents, CoreAnimation, FileProvider, Shortcuts, Storage, Status Bar und WidgetKit auf. Die Auswirkungen reichen von der Umgehung bestimmter Datenschutz-Voreinstellungen über das Auslesen sensibler Nutzerdaten bis hin zu Apps, die unbemerkt Bildschirmaufnahmen anfertigen können.

Letzteres ist deshalb so heikel, weil moderne Apps mittlerweile sehr viel über die Statusleiste, über Widgets oder über Hintergrundprozesse machen. Wenn dort eine Lücke klafft, die das Mitschneiden deines Bildschirms ermöglicht, geht das deutlich über klassische Schadsoftware hinaus.

Mac-spezifisch: CUPS, HFS und GPU-Treiber

Bist du am Mac unterwegs, kommen zusätzliche Themen dazu. Apple hat im macOS-Supportdokument unter anderem eine Lücke im Drucksystem CUPS geschlossen, durch die eine App Root-Rechte hätte erlangen können. Auch im alten Dateisystem HFS gab es einen Pufferüberlauf, der Kernel-Speicher beschreiben konnte. Die GPU-Treiber bekamen eine Korrektur, mit der Apps nicht mehr aus ihrer Sandbox ausbrechen konnten.

Für viele dieser Schwachstellen gilt: Sie verlangen meist eine bösartige App oder eine gezielte Aktion des Nutzers, etwa das Mounten eines präparierten Disk-Images. Trotzdem sind sie genau die Bausteine, aus denen ernsthafte Angriffe gebaut werden.

Ein Detail am Rande: Künstliche Intelligenz hilft beim Aufspüren

Wenn du dich durch Apples CVE-Liste klickst, fällt ein neuer Trend auf. Bei mehreren Lücken werden ausdrücklich KI-Werkzeuge in der Danksagung mitgenannt. So entdeckte das Sicherheitsteam Calif.io eine Integer-Overflow-Schwachstelle im Kernel laut Apple „in collaboration with Claude and Anthropic Research“. Apple selbst nennt zudem das Atuin Automated Vulnerability Discovery Engine als Quelle einer Sandbox-Lücke im Installer.

Was nüchtern klingt, ist eine kleine Zeitenwende: Automatisierte Code-Analyse, unterstützt von KI-Modellen, findet inzwischen real ausgenutzte Klassen von Bugs in produktiver Apple-Software. Wer als Nutzer von Sicherheitsupdates profitieren möchte, profitiert künftig also immer öfter auch von Werkzeugen, die früher allein menschlichen Forschern vorbehalten waren.

Die gute Nachricht: Bislang keine aktiven Angriffe

Trotz der schieren Menge an Patches gibt es Entwarnung an einer wichtigen Stelle. Apple weist nicht darauf hin, dass eine der dokumentierten Lücken bereits aktiv ausgenutzt wird. Das ist relevant, weil das Unternehmen solche Fälle in den Supportdokumenten ausdrücklich kennzeichnet. Tut es das nicht, gilt nach aktuellem Stand: Keine bekannten Exploits „in the wild“.

Was nicht heißt, dass du dir mit dem Update Zeit lassen solltest. Sobald die Patches veröffentlicht sind, beginnt ein Wettlauf. Sicherheitsforscher und Angreifer vergleichen den neuen Code mit dem alten und versuchen daraus zu rekonstruieren, wo genau gepatcht wurde. Jede Stunde ohne Update vergrößert das Zeitfenster, in dem du angreifbar bist, falls jemand schneller ist als Apples Veröffentlichungstakt.

Solltest du das Update installieren? Ganz klar: ja

Die kurze Antwort lautet: ja, und zwar zeitnah. Hier eine Einordnung, falls du normalerweise zögerst.

Du nutzt dein iPhone für Banking, Authentifizierung oder berufliche E-Mails. Dann sind WebKit-Lücken und Schwachstellen rund um sensible Daten genau dein Risiko. Updaten.

Du verwaltest mit deinem Mac wichtige Dokumente, Kundendaten oder Entwicklerprojekte. Dann sind Kernel- und Gatekeeper-Lücken nichts, was du auf die lange Bank schieben solltest. Updaten.

Du hast ein älteres iPhone (ab iPhone 11) oder iPad und denkst, kleinere Updates seien eher kosmetisch. Genau das ist hier nicht der Fall. Die Sicherheitsverbesserungen betreffen praktisch jedes unterstützte Gerät. Updaten.

So installierst du iOS 26.5 und macOS 26.5

Die Installation ist in wenigen Minuten erledigt. Wichtig: Mach vorher ein Backup. Bei iPhone und iPad reicht in der Regel die iCloud-Sicherung, am Mac empfiehlt sich zusätzlich ein aktuelles Time-Machine-Backup.

iPhone und iPad

1. Verbinde dein Gerät mit dem Stromnetz und mit einem stabilen WLAN.
2. Öffne die App Einstellungen.
3. Tippe auf Allgemein und anschließend auf Softwareupdate.
4. Wähle iOS 26.5 oder iPadOS 26.5 aus und tippe auf Laden und installieren.
5. Gib deinen Code ein und warte, bis das Gerät neu startet.

Falls du sofort updaten möchtest, ohne auf den nächsten Nacht-Slot zu warten, kannst du das beim Erscheinen der Update-Seite direkt auswählen. Plane rund 15 bis 30 Minuten ein, je nach Modell.

Mac (macOS Tahoe 26.5)

1. Schließe das Netzteil an, falls du an einem MacBook arbeitest.
2. Öffne die Systemeinstellungen und gehe zu Allgemein.
3. Klicke auf Softwareupdate.
4. Sobald macOS 26.5 angezeigt wird, klicke auf Jetzt aktualisieren.
5. Bestätige mit deinem Administrator-Passwort und lass den Mac in Ruhe arbeiten.

Falls dein Mac noch eine ältere Version nutzt, etwa macOS Sequoia, achte zusätzlich darauf, ob ein eigener Safari-Patch separat angeboten wird. Apple veröffentlicht für die letzten zwei macOS-Generationen häufig parallel Sicherheitsupdates, damit auch Nutzer ohne Lust auf das neueste Hauptrelease vor Browser-Lücken geschützt sind.

Häufige Fragen zu iOS 26.5 und macOS 26.5

Was ist neu in iOS 26.5?

Neben rund 50 Sicherheitspatches bringt iOS 26.5 Ende-zu-Ende-Verschlüsselung für RCS-Nachrichten, neue Pride-Hintergrundbilder und für Nutzer in der EU verbesserte Optionen rund um Drittanbieter-Hardware und das Durchstellen von Benachrichtigungen. In den USA gibt es zusätzlich ein neues Empfehlungssystem in Apple Maps.

Wie viele Sicherheitslücken werden mit iOS 26.5 geschlossen?

Apple dokumentiert in seinem offiziellen Supportartikel mehr als 50 einzeln vergebene CVE-Einträge für iOS 26.5 und iPadOS 26.5. Bei macOS Tahoe 26.5 liegt die Zahl sogar noch etwas darüber, weil Mac-spezifische Komponenten wie CUPS, HFS oder GPU-Treiber hinzukommen.

Wurden die Lücken bereits aktiv ausgenutzt?

Nach Apples Kenntnisstand nein. Im Supportdokument fehlt jeder Hinweis auf aktiv ausgenutzte Schwachstellen. Apple kennzeichnet solche Fälle sonst ausdrücklich. Trotzdem solltest du das Update zügig einspielen, da sich aus Patches nachträglich Angriffsvektoren rekonstruieren lassen.

Welche Geräte erhalten das Update?

Auf der iOS-Seite sind das alle Geräte ab iPhone 11, das iPad Pro 12,9 Zoll der dritten Generation und neuer, das iPad Pro 11 Zoll der ersten Generation und neuer, das iPad Air ab der dritten Generation, das iPad ab der achten Generation und das iPad mini ab der fünften Generation. Auf der Mac-Seite umfasst macOS 26.5 alle Macs, die Tahoe unterstützen.

Lohnt sich das Update auch ohne Sicherheitsinteresse?

Auch wenn dich Sicherheitsthemen nicht stündlich umtreiben, profitierst du von Stabilitätsverbesserungen, kleineren Bugfixes und neuen Funktionen. Hinzu kommt: Apple verknüpft Sicherheitspatches mittlerweile fast immer mit funktionalen Updates. Wer veraltete Software fährt, verpasst beides.

Wie lange brauche ich für die Installation?

Auf einem aktuellen iPhone solltest du mit 10 bis 20 Minuten rechnen, beim Mac mit 20 bis 40 Minuten. Plane das Update für eine Zeit, in der du dein Gerät kurz nicht brauchst, etwa am Abend oder über Nacht.

Fazit

iOS 26.5 und macOS 26.5 sehen auf dem ersten Blick aus wie ein typisches Zwischen-Update. Wer einen Blick in Apples Sicherheitsdokumente wirft, merkt schnell: Hier wurde an wirklich vielen Schrauben gleichzeitig gedreht. Über 50 geschlossene Lücken sind kein Pflichtprogramm, sondern eine handfeste Verbesserung deiner Geräte. Besonders die Patches in WebKit, im Kernel und rund um Privatsphäre-Komponenten betreffen dich im Alltag direkter, als der schmale Patch-Notes-Text vermuten lässt.

Mein Tipp: Backup machen, kurz aufs Sofa setzen, Update starten. In einer halben Stunde bist du auf einem Stand, der dich für die nächsten Wochen deutlich entspannter mit deinem Apple-Gerät umgehen lässt.