Windows-Lücke CVE-2026-45846: Microsoft warnt vor maximal kritischem Fehler

Gleichzeitig schrumpft die Zeit, bis Angreifer diese Lücken ausnutzen.

KI-Jagd auf Schwachstellen

Anthropics KI-Modell „Mythos“ hat seit Anfang April über 10.000 Sicherheitslücken aufgespürt. Das Problem: Mehr als 99 Prozent davon sind noch ungepatcht. Allein im Firefox-Browser entdeckte die KI 271 Schwachstellen, im Werkzeug „Curl“ nur eine einzige.

Die KI erfindet keine neuen Angriffsmuster – sie variiert bekannte Schwachstellen in atemberaubendem Tempo. „Manuelle Audits können da nicht mithalten“, erklärt Branchenexperte Dr. Christopher Kunz. Die Folge: Eine Lücke im Linux-Kernel wurde bereits nach zwei Stunden ausgenutzt.

Die zunehmende Geschwindigkeit von KI-gesteuerten Angriffen stellt vor allem Unternehmen vor neue rechtliche und technische Herausforderungen. Dieser kostenlose Report klärt auf, welche Pflichten die neue EU-KI-Verordnung für Ihre IT-Sicherheit vorsieht. Umsetzungsleitfaden zum EU AI Act jetzt kostenlos herunterladen

IBM reagierte mit dem Fünf-Milliarden-Programm „Project Lightwell“. Die Bank von Italien führte Ende Mai Krisengespräche zur Stabilität der Finanzsysteme.

Hochkritische Lücken in Windows und Browsern

Microsoft schlug am 27. Mai Alarm: Die Schwachstelle CVE-2026-45846 im Windows-Kernel erreicht einen CVSS-Wert von 9,8 – maximal kritisch. Angreifer können Code aus der Ferne ausführen, ohne dass der Nutzer etwas tun muss. Betroffen sind Windows 10, Windows 11 und Windows Server 2022. Die US-Behörde CISA setzte eine Frist bis zum 7. Juni.

Auch Chrome- und Edge-Nutzer müssen handeln. Das BSI warnt vor mehreren Schwachstellen (CVE-2026-9872 bis CVE-2026-9999) unter Linux, macOS und Windows. Angreifer können Schadcode einschleusen oder Systeme lahmlegen. Die Rettung: Chrome 148.0.7778.215 oder Edge 148.0.3967.96.

Kritische Sicherheitslücken im Betriebssystem erfordern schnelles Handeln, um das System stabil und sicher zu halten. IT-Experte Manfred Kratzl zeigt in seinem Gratis-Report, wie Sie Windows-Probleme und Update-Fehler in wenigen Minuten selbst beheben. Kostenlosen Erste-Hilfe-Report für Windows anfordern

SSD-Angriff und neue Cookie-Abwehr

Forscher der TU Graz präsentierten mit „FROST“ eine neue Seitenkanal-Attacke. Sie misst SSD-Zugriffszeiten und erstellt so einen digitalen Fingerabdruck. Über Browser-Timer lassen sich besuchte Webseiten zu 89 Prozent genau identifizieren – ohne Nutzerinteraktion.

Google zieht gegen Cookie-Diebstahl in die Offensive. Die neuen „Device Bound Session Credentials“ (DBSC) in Chrome binden Cookies an Hardware-Chips wie TPM. Selbst wenn Infostealer-Malware Sitzungsdaten klaut, kann sie die Zwei-Faktor-Authentifizierung nicht umgehen. Ein Segen besonders für den Kryptohandel, wo solche Angriffe zuletzt massive Verluste verursachten.

Streit um Zero-Day-Offenlegung

Die Sicherheitslage wird zusätzlich durch juristische Konflikte belastet. Microsoft drohte einem Sicherheitsforscher mit rechtlichen Schritten. Der hatte Zero-Day-Lücken in Windows Defender und BitLocker veröffentlicht – unter den Codenamen „BlueHammer“, „RedSun“ und „UnDefend“ (CVE-2026-33825, CVE-2026-45498).

Der Forscher wirft Microsoft mangelnde Kooperation vor. Der Konzern kritisiert die unkoordinierte Veröffentlichung von bereits aktiv ausgenutzten Schwachstellen. Branchenvertreter fürchten: Solche juristischen Drohungen könnten die Sicherheitsgemeinschaft einschüchtern – mit fatalen Folgen für alle.

de | wissenschaft | 69448731 |