Chromium-Lücke: 42 Monate ungepatcht, Millionen Browser gefährdet

Eine seit 42 Monaten ungepatchte Sicherheitslücke im Chromium-Background-Fetch-API gefährdet Millionen von Microsoft-Edge-Nutzern. Sicherheitsforscher schlagen Alarm, nachdem öffentlicher Exploit-Code kursiert. Gleichzeitig kämpft Microsoft mit kritischen Lücken in SharePoint und einer neuen Phishing-Welle gegen Microsoft-365-Umgebungen.

Jahrealter Bug ermöglicht heimliche Botnet-Infektionen

Die Sicherheitslücke im Chromium-Background-Fetch-API wurde bereits 2022 von der Forscherin Lyra Rebane entdeckt – doch ein Patch steht bis heute aus. Am 20. Mai 2026 wurde Proof-of-Concept-Code veröffentlicht, offenbar durch eine versehentliche Veröffentlichung Googles. Seither ist das Risiko massiv gestiegen.

Der Fehler betrifft schätzungsweise 65 bis 70 Prozent des Browsermarktes: Neben Microsoft Edge sind auch Google Chrome, Brave, Opera, Vivaldi und Arc verwundbar. Firefox und Safari bleiben verschont. Besonders brisant: Edge fehlen spezifische Benutzeroberflächen-Hinweise, die vor Hintergrundaktivitäten warnen. Angreifer können Rechner so unbemerkt in Botnetze einbinden.

Angesichts versteckter Bedrohungen durch ungepatchte Browser-Lücken wird ein proaktiver Schutz für die Unternehmens-IT immer wichtiger. Dieses kostenlose E-Book liefert fundierte Informationen zu aktuellen Cyberrisiken und zeigt, wie Sie Sicherheitslücken effektiv schließen können. Experten-Checkliste zur Cyber-Security jetzt kostenlos herunterladen

„Die Stille der Benachrichtigungen macht Edge zum idealen Ziel für persistente Infektionen", erklären Sicherheitsexperten. Ein offizieller Patch für die Kernlücke existiert nicht.

Google brachte zwar am 19. Mai ein Update für die Chromium-Engine (Versionen 148.0.7778.178/179) mit 16 Patches, darunter zwei kritische RCE-Lücken. Doch die Background-Fetch-API-Schwachstelle bleibt in den aktuellen Browserversionen unangetastet.

Microsoft schließt kritische SharePoint-Lücke

Parallel zu den Browser-Problemen hat Microsoft am 21. Mai 2026 ein Sicherheitsupdate für CVE-2026-45659 veröffentlicht. Die als hochriskant eingestufte Schwachstelle im SharePoint Server (CVSS-Score 8.8) erlaubt authentifizierten Angreifern mit Site-Member-Rechten die Ausführung beliebigen Codes.

Betroffen sind die Server Subscription Edition sowie die Versionen 2019 und 2016. Microsoft stuft den Fehler als „geringe Komplexität" ein – eine Benutzerinteraktion ist nicht erforderlich. Zwar gibt es keine Hinweise auf aktive Ausnutzung, doch Microsoft drängt Administratoren zur sofortigen Installation der aktuellen Builds.

Neue Phishing-Plattform zielt auf Microsoft 365

Das FBI warnt vor einer neuen Phishing-as-a-Service-Plattform namens Kali365. Sie wird über Telegram vertrieben und zielt speziell auf Microsoft-365-Umgebungen ab. Die Methode: Angreifer stehlen OAuth-Tokens und umgehen die Multi-Faktor-Authentifizierung durch ein Device-Code-Login-Verfahren auf legitimen Microsoft-Seiten.

So erlangen Kriminelle dauerhaften Zugriff auf sensible Unternehmensdaten in Outlook, Teams und OneDrive. „Das ist kein simpler Passwortdiebstahl mehr", betonen Sicherheitsforscher. „Hier werden ganze Sitzungen gekapert."

Die Professionalisierung von Angriffen auf Microsoft-365-Nutzer zeigt, dass Unternehmen ihre Abwehrmechanismen dringend verstärken müssen. In diesem kostenlosen Anti-Phishing-Paket erfahren Sie in vier Schritten, wie Sie Ihr Unternehmen wirksam vor Cyberkriminalität und Identitätsdiebstahl schützen. Kostenlosen Leitfaden zur Phishing-Abwehr anfordern

KI entdeckt Rekordzahl an Sicherheitslücken

Der Frühling 2026 markiert einen Wendepunkt in der Sicherheitsforschung: Künstliche Intelligenz identifiziert Softwarefehler in nie dagewesenem Ausmaß. Mozilla Firefox 150 enthielt 271 Sicherheitskorrekturen – 180 davon als hochriskant eingestuft. Entdeckt wurden sie größtenteils durch Anthropics KI-System Claude Mythos.

Auch Microsoft setzt auf KI: Das hauseigene MDASH-System identifizierte im Mai 2026 16 von 118 CVEs, darunter CVE-2026-33824, eine kritische RCE-Lücke in IKE v2. Apple nutzt sein Projekt Glasswing und schloss damit 52 Schwachstellen in den jüngsten Updates.

Doch die KI-Entwicklung ist ein zweischneidiges Schwert. Anfang des Monats wurde der erste KI-generierte Zero-Day-Exploit abgefangen – er zielte auf einen 2FA-Bypass-Mechanismus. „Eine neue Ära automatisierter Cyberangriffe hat begonnen", warnen Experten.

Alte Lücken bleiben gefährlich

Während die Industrie auf KI setzt, bleiben klassische Schwachstellen bedrohlich. Die US-Behörde CISA hat Bundesbehörden angewiesen, bis zum 27. Mai 2026 eine kritische SQL-Injection-Lücke in Drupal (CVE-2026-9082) zu schließen. Über 15.000 Angriffsversuche wurden gegen 6.000 Websites weltweit registriert – mit Schwerpunkt auf Gaming- und Finanzdienstleister.

Auch der Dateiarchivierer 7-Zip ist betroffen: CVE-2026-48095 ermöglicht einen Heap-Buffer-Overflow im NTFS-Handler. Ein Patch fehlt. Und seit Ende 2025 wird die Lernplattform KnowledgeDeliver LMS (CVE-2026-5426) aktiv ausgebeutet – mit fest codierten Schlüsseln, die Hintertüren wie die BLUEBEAM-Webshell und Cobalt-Strike-Infektionen ermöglichen.

Ausblick: Patchen allein reicht nicht

Für Unternehmen bedeutet das: Herkömmliche Patch-Zyklen stoßen an ihre Grenzen. IT-Abteilungen müssen bei Chromium-Browsern strengere Richtlinien für Service Worker und Hintergrund-APIs durchsetzen, bis die Background-Fetch-Lücke endlich geschlossen wird.

Die kommenden Wochen werden von KI-gesteuerter Verteidigung geprägt sein. Da Tools wie Claude Mythos und MDASH zum Standard werden, steigt die Zahl der CVEs rasant – und damit der Druck auf automatisierte Sicherheitsupdates. Sicherheitsexperten empfehlen, die Indikatoren für Kompromittierungen durch Plattformen wie Kali365 genau zu überwachen und alle SharePoint- und Drupal-Installationen auf den aktuellsten Stand zu bringen.

de | wissenschaft | 69423189 |