Microsoft Edge: Kritisches Sicherheitsupdate schließt gefährliche Lücken

Microsoft hat heute ein dringendes Sicherheitsupdate für den Edge-Browser veröffentlicht. Die neue Version 143.0.3650.66 behebt über ein Dutzend kritischer Schwachstellen, die Angreifern das Einschleusen von Schadcode ermöglichen könnten. Die Veröffentlichung erfolgt nur wenige Tage nach Bekanntwerden einer massiven Malware-Kampagne, die Millionen Browser-Nutzer weltweit ins Visier nahm.

Remote Code Execution: Die gefährlichste Angriffsvariante

Das Update für den Stable Channel adressiert mehrere hochriskante Sicherheitslücken. Besonders brisant: Einige der Schwachstellen würden Remote Code Execution (RCE) ermöglichen – die wohl gefährlichste Angriffskategorie überhaupt. Angreifer könnten Schadcode auf fremden Rechnern ausführen, indem sie Opfer lediglich auf präparierte Webseiten locken.

Die Patches umfassen eine ganze Reihe dokumentierter Schwachstellen, darunter CVE-2025-13630, CVE-2025-13631 und CVE-2025-13632. Ob diese Lücken bereits aktiv ausgenutzt wurden, ließ Microsoft bislang offen. Die schiere Menge – die Nummerierung reicht von CVE-2025-13630 bis CVE-2025-13640 – deutet jedoch auf eine umfassende Sicherheitsüberholung hin.

Viele Unternehmen und IT‑Verantwortliche unterschätzen momentan die Gefahr durch Browser‑Lücken und bösartige Extensions. Gerade RCE‑Schwachstellen und heimliche Backdoors können Angreifern kompletten Zugang zu Systemen verschaffen. Dieses kostenlose E‑Book erklärt kompakt, welche Sofortmaßnahmen Sie jetzt ergreifen sollten – von Patch‑Management über Extension‑Kontrollen bis zur Notfall‑Checkliste für Admins. Holen Sie sich praxisnahe Schritte, die sich sofort umsetzen lassen. Kostenlosen Cyber-Security-Leitfaden für Firmen herunterladen

Neben RCE-Schutz beseitigt das Update weitere kritische Schwachstellen:

• Privilege Escalation: Verhindert, dass Angreifer erweiterte Systemrechte erlangen
• Spoofing: Schließt Lücken, die das Vortäuschen legitimer Websites ermöglichten
• Security Bypass: Blockiert Umgehung integrierter Browser-Sicherheitsmechanismen

Sofortiges Handeln erforderlich

Microsoft fordert alle Nutzer auf, unverzüglich auf Version 143.0.3650.66 zu aktualisieren. Zwar erfolgen Edge-Updates normalerweise automatisch, doch angesichts der Schwere der Lücken empfiehlt sich eine manuelle Prüfung.

„Angreifer könnten einige dieser Schwachstellen nutzen, um Denial-of-Service-Angriffe auszulösen oder sensible Informationen abzugreifen”, warnte das Hong Kong Computer Emergency Response Team Coordination Center (HKCERT) in seinem Sicherheitshinweis vom 5. Dezember. Die Risikoeinstufung reicht von „mittel” bis „hoch” – die RCE-Vektoren machen das Update jedoch für Privatanwender und Unternehmen gleichermaßen zur Pflicht.

Die Prüfung geht schnell: Im Browser-Menü (…) unter Hilfe und Feedback die Option Info zu Microsoft Edge aufrufen. Der Browser sucht dann automatisch nach Updates und installiert diese.

Eine Woche der Browser-Bedrohungen

Das Sicherheitsupdate kommt zum Ende einer turbulenten Woche für Browser-Sicherheit. Erst am 1. Dezember 2025 hatten Sicherheitsforscher die massive Malware-Kampagne „ShadyPanda” aufgedeckt.

Laut einem Bericht von The Register infizierten bösartige Browser-Erweiterungen rund 4,3 Millionen Nutzer von Microsoft Edge und Google Chrome. Die Angreifer hatten „auf lange Sicht geplant”: Sie veröffentlichten zunächst scheinbar harmlose Extensions, die über Jahre hinweg Millionen Downloads sammelten, bevor sie bösartige Updates mit Backdoors und Spyware ausrollten.

Der „ShadyPanda”-Vorfall offenbart eine kritische Schwachstelle, die Browser-Updates allein nicht schließen können: das Extension-Ökosystem. Während das heutige Update Version 143 Lücken im Browser-Code behebt, bleibt Wachsamkeit bei Drittanbieter-Erweiterungen unerlässlich. Die schädlichen Extensions konnten sensible Nutzerdaten abgreifen und an Server in China übermitteln – ein Beleg für die Raffinesse moderner Browser-basierter Angriffe.

Chromium-Architektur als Herausforderung

Der Zeitpunkt von Microsofts Veröffentlichung passt zum breiteren Chromium-Release-Zyklus. Da Edge auf der Chromium-Engine basiert, teilt er die grundlegende Architektur mit Google Chrome. Werden kritische Schwachstellen in Chromium entdeckt, müssen alle darauf aufbauenden Browser – darunter Edge, Brave und Vivaldi – zeitnah nachziehen.

Bereits am 2. Dezember 2025 hatte Microsoft in Release-Notes angekündigt, „aktiv an einem Sicherheitsfix zu arbeiten”, nachdem man von neuen Chromium-Patches erfahren hatte. Das heutige Update bündelt diese Chromium-Fixes offenbar mit Edge-spezifischen Verbesserungen.

Die Veröffentlichung von Version 143 hält Microsoft zudem im geplanten 4-Wochen-Rhythmus für Major-Releases. Die Zielwoche für den Stable Channel von Version 143 war laut Zeitplan die Woche vom 4. Dezember 2025. Dieses Datum trotz nötiger Notfall-Patches einzuhalten, zeigt Microsofts Bemühen um einen vorhersehbaren und dennoch reaktionsfähigen Update-Rhythmus – besonders wichtig für Unternehmenskunden.

Zero-Day-Realität: Der Wettlauf verschärft sich

Sicherheitsexperten prognostizieren, dass sich der Zeitraum zwischen Schwachstellen-Entdeckung und Ausnutzung weiter verkürzen wird. Die „ShadyPanda”-Kampagne und die Dringlichkeit der heutigen RCE-Patches illustrieren einen Zweifronten-Krieg für Browser-Hersteller: Absicherung des Kern-Codes gegen Zero-Day-Exploits bei gleichzeitiger Überwachung des riesigen Extension-Ökosystems.

Für IT-Administratoren bedeutet Version 143 zusätzliche Arbeit zum Jahresende. Gerade vor den Feiertagen intensivieren Angreifer oft ihre Aktivitäten – in der Hoffnung auf unterbesetzte Sicherheitsteams.

„Die Tatsache, dass wir mehrere RCE- und Privilege-Escalation-Schwachstellen in einem einzigen Update gepatcht sehen, legt nahe, dass Forscher – und möglicherweise Angreifer – die Chromium-Codebasis momentan sehr genau unter die Lupe nehmen”, kommentierte ein Cybersecurity-Analyst.

Nutzer können in den kommenden Wochen weitere kleinere Updates erwarten, während Microsoft die Stabilität von Version 143 überwacht. Die Botschaft bleibt eindeutig: Noch heute auf Version 143.0.3650.66 aktualisieren – um die Tür zu diesen kritischen Risiken zu schließen.

PS: Zero‑Day‑Exploits wie die in Edge gepatchten RCE‑Lücken und die „ShadyPanda”-Kampagne zeigen, wie schnell Schadsoftware über Extensions eingeschleust wird. Der kostenlose Report “Cyber Security Awareness Trends” fasst aktuelle Bedrohungen zusammen und bietet umsetzbare Schutzmaßnahmen, neue Compliance‑Hinweise und eine Prioritäten‑Checkliste für kleine und mittlere Unternehmen. Ideal für IT‑Leiter, die kurzfristig Risiko reduzieren wollen. Jetzt kostenlosen Cyber-Security-Report anfordern