Apple hat eine schwerwiegende Sicherheitslücke in seinem Mixed-Reality-Headset Vision Pro gestopft, die bereits aktiv für Angriffe genutzt wurde. Die Notfall-Aktualisierung visionOS 26.3 schützt das Premium-Gerät vor komplexen Cyberangriffen, die über manipulierte Webseiten gestartet werden konnten. Der Vorfall unterstreicht die wachsende Bedeutung der Sicherheit für räumliche Computer, die sensible Umgebungs- und Biometriedaten verarbeiten.
Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind — neue Gesetze verschärfen die Lage und IT-Experten warnen vor teuren Konsequenzen. Dieser kostenlose Leitfaden zeigt Geschäftsführern, wie sie ihr Unternehmen mit einfachen Maßnahmen effektiv schützen. Experten-Report: IT-Sicherheit ohne Budget-Explosion stärken
So funktionierte die kritische Schwachstelle
Im Kern der Mitte Februar entdeckten Bedrohung lag die Sicherheitslücke CVE-2026-20700. Sie wurde mit der hohen CVSS-Bewertung 7,8 eingestuft. Die Schwachstelle befand sich in Apples Dynamic Link Editor (dyld) und ermöglichte es Angreifern mit Schreibrechten im Speicher, beliebigen Code auf dem Vision Pro auszuführen.
Entdeckt wurde die aktive Ausnutzung von Google’s Threat Analysis Group, die auf staatlich geförderte Angreifer und Spyware-Händler spezialisiert ist. Die Lücke war keine theoretische Gefahr, sondern wurde „in the wild“ eingesetzt. Durch die Ausführung von eigenem Code hätten Angreifer Spyware oder Backdoors installieren können – völlig unbemerkt vom Nutzer. Die schnelle Bereitstellung des Patches war daher überlebenswichtig.
Ein ausgeklügelter Mehrstufen-Angriff
Die Bedrohung war besonders heikel, weil die dyld-Lücke nicht allein genutzt wurde. Sie war vielmehr das letzte Glied in einer hochkomplexen Infektionskette. Angreifer kombinierten diesen Zero-Day mit zwei bereits bekannten, aber schwerwiegenden Schwachstellen:
- CVE-2025-14174: Ein Problem mit Speicherzugriffen außerhalb der Grenzen in der ANGLE Metal-Renderer-Komponente.
- CVE-2025-43529: Eine „Use-after-free“-Schwachstelle in der WebKit-Browser-Engine.
Beide Lücken, die bereits im Dezember 2025 von Apple geschlossen wurden, haben die hohe CVSS-Bewertung 8,8. Metal ist für die Darstellung der komplexen 3D-Umgebungen des Vision Pro entscheidend, WebKit treibt Safari an.
Der Angrfsablauf war raffiniert: Über eine präparierte Webseite wurde zunächst die WebKit-Lücke ausgenutzt. Anschließend diente die dyld-Schwachstelle dazu, die Berechtigungen zu eskalieren und tieferen Zugriff auf das Betriebssystem zu erlangen. Der Patch im Februar durchtrennte diese Angriffskette für alle Nutzer, die ihr Gerät aktuell halten.
Immer im Fokus: Die Sicherheit räumlicher Computer
Der Zero-Day-Patch ist Teil der kontinuierlichen Bemühungen, die noch junge visionOS-Plattform abzuhärten. Das Vision Pro stellt durch neuartige Eingabemethoden wie Augenverfolgung und Handgesten einzigartige Sicherheitsherausforderungen. Bereits Mitte 2024 wurde mit GAZEploit eine Schwachstelle entdeckt, die es erlaubte, über die Augenbewegungen des digitalen Personas getippte Passwörter auszuspähen.
Die aktuelle Lücke zeigt jedoch, dass die größten Gefahren oft im grundlegenden Code lauern. Da visionOS architektonisch eng mit iOS und macOS verwandt ist, bedrohen Schwachstellen in gemeinsamen Frameworks die gesamte Gerätefamilie. Daher rollte Apple die Sicherheitsupdates im Februar gleichzeitig für alle Systeme aus: Neben visionOS 26.3 auch für iOS, iPadOS, macOS Tahoe, tvOS und watchOS.
Was bedeutet das für Unternehmen?
Die Sicherheitslage bleibt angespannt. Erst im März 2026 warnte Apple erneut Nutzer älterer Geräte vor Exploit-Kits wie DarkSword und Coruna. Für Unternehmen, die das Vision Pro zunehmend in ihre Workflows integrieren, ist das ein klares Signal.
Cybersicherheitsexperten betonen: Sobald solche Headsets proprietäre Firmendaten, virtuelle Meetings oder sensible Raumkarten verarbeiten, werden sie zu lukrativen Zielen für professionelle Angreifer. IT-Administratoren behandeln räumliche Computer deshalb zunehmend wie klassische Endgeräte – mit strengen Richtlinien für Mobile Device Management (MDM) und der Pflicht zu sofortigen Updates.
Der Schutz sensibler Firmendaten fängt bei der Sensibilisierung der Verantwortlichen an. Erfahren Sie in diesem kostenlosen E-Book, was Geschäftsführer über Cyber Security 2024 und die neuen KI-Gesetze unbedingt wissen müssen. Kostenloses E-Book: Cyber Security Awareness Trends herunterladen
Blick nach vorne: Strengere Regeln für Entwickler
Als Konsequenz verschärft Apple die Anforderungen an App-Entwickler. Ab dem 28. April 2026 müssen alle Apps, die an App Store Connect übermittelt werden, mit dem visionOS 26 SDK oder einer neueren Version gebaut sein. Diese Maßnahme soll sicherstellen, dass Drittanbieter-Apps von den neuesten Sicherheitsverbesserungen profitieren.
Die Branche rechnet damit, dass Angreifer ihre Bemühungen fortsetzen werden – sowohl nach traditionellen Speicher-Schwachstellen als auch nach neuartigen räumlichen Angriffspunkten zu suchen. Das Vertrauen in das Vision Pro wird langfristig von robusten Schutzmechanismen, einer strikten Isolierung von Apps (Sandboxing) und dem fortgesetzten Tempo bei sicherheitsrelevanten Ökosystem-Updates abhängen.
