Edge-Sicherheit: Microsoft schließt kritische RCE-Lücke CVE-2026-45495

Im Fokus steht eine Schwachstelle, die Angreifern die vollständige Kontrolle über betroffene Systeme ermöglichen könnte.

Angesichts der aktuellen Sicherheitslücken in Browsern und Betriebssystemen ist ein proaktiver Schutz Ihrer digitalen Identität wichtiger denn allein. Dieser kostenlose PDF-Ratgeber zeigt Ihnen, wie Sie mit der neuen Passkey-Technologie Ihre Konten bei Microsoft und Co. ohne unsichere Passwörter effektiv absichern. Passkeys bei Microsoft & Co. jetzt kostenlos einrichten

Gefährlicher Verzeichnis-Traversal-Fehler entdeckt

Die schwerwiegendste Lücke trägt die Bezeichnung CVE-2026-45495 und betrifft die Protokolldateiverwaltung von Edge. Es handelt sich um einen sogenannten Directory-Traversal-Fehler – eine Schwachstelle in der Pfadvalidierung, die es Angreifern erlaubt, beliebigen Code auszuführen. Der CVSS-Score liegt bei 7,5 von möglichen 10 Punkten.

Entdeckt wurde das Problem von Sicherheitsforscher Orange Tsai von DEVCORE im Rahmen des Hacking-Wettbewerbs Pwn2Own. Microsoft wurde am 20. Mai 2026 informiert. Allerdings ist eine Nutzerinteraktion nötig: Das Opfer muss eine präparierte Webseite besuchen oder eine manipulierte Datei öffnen.

Mehrere Schwachstellen im Verbund

Neben der RCE-Lücke schloss Microsoft zwei weitere Sicherheitslücken, die vom selben Forscherteam gemeldet wurden. CVE-2026-45494 ist eine universelle Cross-Site-Scripting-Lücke (UXSS) mit einem CVSS-Wert von 5,0. CVE-2026-45492 beschreibt einen Ursprungsvalidierungsfehler beim geräteübergreifenden Anmelden (CVSS 4,3).

Sicherheitsexperten beobachten einen wachsenden Trend: Angreifer kombinieren mehrere mittelschwere Schwachstellen, um gefährlichere Angriffe zu ermöglichen. Die aktuellen Patches sollen genau diese Angriffsketten unterbrechen.

Ungelöste Probleme im Microsoft-Ökosystem

Parallel zu den Updates wurden weitere Sicherheitsbedenken bekannt. Die Firma Huntress deckte am 3. Juni eine ungepatchte Schwachstelle im Windows-Search-URI-Handler auf. Klickt ein Nutzer auf einen speziell präparierten Link in Edge, können NTLMv2-Hashes abfließen.

Da in Deutschland jedes Quartal Millionen von Konten durch solche Schwachstellen gefährdet sind, warnen Experten davor, sich weiterhin nur auf herkömmliche Passwörter zu verlassen. Erfahren Sie in diesem kostenlosen Report, warum immer mehr Nutzer auf die sichere Alternative umsteigen, die Hackern keine Chance mehr lässt. Sichere Alternative zu Passwörtern jetzt gratis nachlesen

Microsoft lehnte es ab, diesen Fehler zu schließen – die Schwelle für ein sofortiges Update sei nicht erreicht. Als Schutzmaßnahme empfehlen Experten, ausgehenden SMB-Verkehr zu blockieren und SMB-Signierung zu erzwingen.

Zudem warnte Microsoft vor CVE-2026-47644: Die Copilot-Chat-Funktion in Edge könnte unbeabsichtigt Organisationsdaten preisgeben. Administratoren sollen Berechtigungskonfigurationen und Identitätsprotokolle überprüfen.

Funktionale Änderungen und KI-Integration

Microsoft hat außerdem das Custom Primary Password aus Edge entfernt. Gespeicherte Passwörter werden künftig nur noch durch gerätebasierte Authentifizierung wie Windows Hello geschützt – nicht mehr durch ein separates Browser-Passwort.

Bereits am Dienstag integrierte Microsoft das KI-Modell Aion-1.0-Instruct in Edge Version 148. Das kleine, schnelle Modell läuft lokal auf dem Gerät und ist für leistungsschwächere Hardware optimiert. Es steht zunächst in den Canary- und Dev-Kanälen zur Verfügung, ein Open-Source-Release ist für den Sommer geplant.

de | wissenschaft | 69486497 |