iOS 26.4.2: Apple schließt von FBI ausgenutzte Benachrichtigungs-Lücke
27.06.2026 - 03:53:20 | boerse-global.de
Apple hat am 26. Juni 2026 mehrere Sicherheitsupdates veröffentlicht, die sowohl aktuelle als auch ältere iPhone-Modelle betreffen. Die Updates kommen zeitgleich mit der Veröffentlichung einer nicht behebbaren Hardware-Schwachstelle in älteren Chips und Berichten über einen spezifischen Malware-Vorfall in sozialen Medien.
iOS 26.4.2 schließt von FBI ausgenutzte Benachrichtigungs-Lücke
Apple veröffentlichte iOS 26.4.2 und iOS 18.7.8 am 26. Juni, um eine kritische Sicherheitslücke mit der Kennung CVE-2026-28950 zu beheben. Der Fehler steckt in den Benachrichtigungsdiensten des Systems und führte dazu, dass gelöschte Nachrichten in den Benachrichtigungsprotokollen erhalten blieben.
Sicherheitsberichten zufolge nutzte das FBI genau diese Schwachstelle aus, um auf Signal-Nachrichten zuzugreifen, die Nutzer für endgültig gelöscht hielten. Das neue Update verschärft die Protokollierungsrichtlinien und entfernt nachträglich alle verbliebenen Benachrichtigungsfragmente. Während iOS 26.4.2 für das iPhone 11 und neuere Modelle gedacht ist, stellt Apple iOS 18.7.8 bereit, um den Fix auf ältere Geräte auszuweiten.
Nicht behebbarer „usbliter8"-Exploit trifft A12- und A13-Chips
Forscher von Paradigm Shift veröffentlichten am 26. Juni ihre Erkenntnisse zu einer hardwarebasierten Schwachstelle namens „usbliter8". Der Exploit zielt auf das SecureROM und den Synopsys DWC2 USB-Controller in Apples A12- und A13-Chips ab. Da der Fehler im BootROM liegt, lässt er sich nicht per Software-Update beheben.
Die Schwachstelle betrifft eine breite Palette älterer Geräte, darunter das iPhone XS, XS Max, XR und die iPhone-11-Serie sowie mehrere iPad-Modelle, die Apple Watch Series 4 und 5 und den HomePod mini. Für die Ausnutzung ist physischer Zugriff auf das Gerät im DFU-Modus und der Einsatz einer speziellen RP2350-Platine erforderlich.
Das FBI konnte gelöschte Signal-Nachrichten auslesen – dank einer Lücke, die Apple jetzt mit iOS 26.4.2 schließt. Erfahren Sie in unserer Schritt-für-Schritt-Anleitung, wie Sie Ihr iPhone updaten und gleichzeitig vor dem nicht behebbaren usbliter8-Exploit schützen. Jetzt kostenlose Sicherheits-Checkliste anfordern
Paradigm Shift betont, dass der Exploit zwar in weniger als zwei Sekunden ausgeführt werden kann, aber die Secure Enclave nicht kompromittiert. Mitte Juni 2026 gab es keine dokumentierten Fälle eines Einsatzes dieser Schwachstelle in freier Wildbahn. Branchenexperten empfehlen besorgten Nutzern ein Upgrade auf Geräte mit A14-Chips oder neuer, die nicht anfällig für diesen Exploit sind.
Umgang mit dem „Moo-Virus" und Diebstahlschutz
In sozialen Medien tauchten zuletzt Anleitungen zum Umgang mit einer Bedrohung namens „Moo-Virus" auf, insbesondere auf TikTok. Am 26. Juni wurden technische Demonstrationen veröffentlicht, die zeigen, wie sich der „Moo-Virus" von iPhones entfernen lässt, ohne die Geräteeinstellungen komplett zurückzusetzen.
Parallel dazu rollt Apple weiterhin automatische Sicherheitsfunktionen aus, die bereits im Frühjahr eingeführt wurden. Mit einem Update vom 8. April 2026, iOS 26.4.1, begann das Unternehmen, den Diebstahlschutz (Stolen Device Protection) auf kompatiblen iPhones automatisch zu aktivieren. Diese Maßnahme soll die Sicherheit bei Gerätediebstählen erhöhen, auch wenn diesem Release keine spezifischen CVE-Einträge zugeordnet waren.
Frühere Sicherheitsmaßnahmen und Bluetooth-Risiken
Der Moo-Virus auf TikTok bedroht iPhones – doch Sie können ihn entfernen, ohne Ihre Daten zu verlieren. In unserer Checkliste zeigen wir Ihnen, wie das geht, und geben zusätzlich Tipps zum Schutz vor dem usbliter8-Hardware-Exploit. Moo-Virus-Entfernung jetzt sichern
Die Juni-Updates folgen auf eine Reihe dringender Sicherheitsmaßnahmen im ersten Halbjahr 2026. Anfang des Jahres schloss Apple seine erste Zero-Day-Sicherheitslücke des Jahres 2026, CVE-2026-20700, die eine Speicherkorruption im dynamischen Linker (dyld) betraf. Diese Schwachstelle wurde Berichten zufolge vor der Behebung in Version 26.3 von Apples Betriebssystemen für gezielte Angriffe genutzt.
Zudem legte eine Schwachstelle namens „BleedPulse" kürzlich eine Race-Condition im Bluetooth-Low-Energy-Firmware-Update-Handler von iOS 17.4 offen. Diese Lücke ermöglichte die stille Übernahme gekoppelter Wearables. Apple veröffentlichte zwar einen Notfall-Patch für iPhones, doch Branchenanalysten weisen darauf hin, dass einige Drittanbieter-Wearables weiterhin verwundbar bleiben könnten. Weitere Verfeinerungen für die Wearable-Software werden erwartet, watchOS 10.4.1 steht voraussichtlich Anfang Juli 2026 an.
