Apple hat die vollständige Liste der Sicherheitskorrekturen für Safari 26.5 veröffentlicht. Die Aktualisierung behebt unter anderem WebKit-Lücken, über die manipulierte Webseiten sensible Nutzerdaten preisgeben oder den Browser zum Absturz bringen konnten.
Safari 26.5: Sicherheitsinhalte jetzt veröffentlicht
Zu Beginn der Woche hat Apple iOS 26.5 und die dazugehörigen Systemversionen sowie Updates für ältere Ausgaben von iOS, iPadOS und macOS bereitgestellt. Am selben Tag folgte die Veröffentlichung der Sicherheitsinhalte für diese Aktualisierungen, die Ihr in einem separaten Dokument im Detail nachlesen könnt.
Nun liegt auch der Sicherheitsinhalt für Safari 26.5 vor. Das Update behebt 20 Schwachstellen in der Browser-Engine WebKit sowie ein Problem in WebRTC, das zu einem unerwarteten Absturz von Prozessen führen konnte. Die vollständige Auflistung der Korrekturen findet Ihr auf der Support-Seite von Apple.
WebKit: Datenlecks und Abstürze behoben
Die Sicherheitskorrekturen gelten für macOS Sonoma und macOS Sequoia. Mehrere Fehler in WebKit konnten dazu führen, dass die Richtlinien zur Inhaltssicherheitsrichtlinie nicht korrekt durchgesetzt wurden. Apple beschreibt, dass diese Probleme durch verbesserte Logik und optimierte Eingabeprüfung behoben wurden. Betroffen sind unter anderem die mit WebKit Bugzilla 308906 und 308675 verknüpften Einträge, die als CVE-2026-43660 und CVE-2026-28907 geführt werden.
Besonders kritisch ist eine Schwachstelle, über die manipulierte Webinhalte sensible Informationen von Benutzer:innen offenlegen konnten. Dieses Problem wurde mit verbesserten Zugriffsbeschränkungen behoben und ist unter WebKit Bugzilla 309698 sowie CVE-2026-28962 dokumentiert.
Weitere Lücken konnten beim Laden schädlicher Webseiten unerwartete Safari-Abstürze oder Prozessabstürze auslösen. Apple nennt hier vor allem Fehler im Speichermanagement und sogenannte Use-after-free-Probleme, die nun durch eine optimierte Speicherverwaltung adressiert werden. Dazu zählen etwa die Bugs mit den Kennungen 307669 (CVE-2026-43658), 308545 (CVE-2026-28905), 308707 (CVE-2026-28847), 309601 (CVE-2026-28904), 310880 (CVE-2026-28955), 310303 (CVE-2026-28903), 309628 (CVE-2026-28953), 309861 (CVE-2026-28902), 310207 (CVE-2026-28901) und 311631 (CVE-2026-28913). Ein weiterer Use-after-free-Fehler mit der Kennung 313939 wurde als CVE-2026-28883 behoben.
Eine zusätzliche Schwachstelle erlaubte es möglicherweise einer App, auf sensible Nutzerdaten zuzugreifen. Apple begegnet dem Problem mit verbesserter Datenschutztechnik; es ist als WebKit Bugzilla 311228 und CVE-2026-28958 aufgeführt. Andere Fehler in WebKit konnten ebenfalls zu unerwarteten Prozess- oder Safari-Abstürzen führen und wurden durch bessere Eingabeprüfung oder Speicherbehandlung adressiert. Hierzu gehören die Einträge 310527 (CVE-2026-28917), 310234 (CVE-2026-28947), 310544 (CVE-2026-28946) und 312180 (CVE-2026-28942).
Eine weitere Lücke erlaubte es einem schädlichen iframe, die Download-Einstellungen einer anderen Website zu verwenden. Apple hat dieses Problem durch eine verbesserte Behandlung der Benutzeroberfläche behoben. Es wird als CVE-2026-28971 und WebKit Bugzilla 311288 geführt.
WebRTC-Fehler und Update-Empfehlung
Neben WebKit enthält Safari 26.5 auch eine Korrektur für WebRTC. Verarbeitete der Browser speziell präparierte Webinhalte, konnte dies zu einem unerwarteten Prozessabsturz führen. Laut Apple wurde dieses Problem durch eine verbesserte Speicherbehandlung behoben. Die Schwachstelle ist mit WebKit Bugzilla 311131 und CVE-2026-28944 dokumentiert.
Wenn Euer Mac mit Safari 26.5 kompatibel ist, solltet Ihr prüfen, ob Ihr bereits die aktuelle Version installiert habt. Weitere Informationen zu Apples Sicherheitsaktualisierungen stellt der Konzern auf einer eigenen Support-Seite bereit.
Via: https://9to5mac.com
