Eine neu entdeckte Sicherheitslücke bringt Hunderttausende Websites in Gefahr. Der Angriff nutzt eine clevere Kombination aus zwei zehn Jahre alten Schwachstellen – und benötigt nicht mehr als einen handelsüblichen Internetanschluss.
Sicherheitsforscher haben eine kritische Denial-of-Service-Lücke aufgespürt, die selbst große Webserver binnen Sekunden lahmlegen kann. Die sogenannte „HTTP/2 Bomb“ wurde von Quang Luong von der Sicherheitsfirma Calif entdeckt – und zwar mit Hilfe von OpenAIs KI-Agent Codex. Am 3. Juni 2026 wurde die Schwachstelle öffentlich gemacht.
Explosive Mischung aus alten Fehlern
Anzeige: Die HTTP/2 Bomb kombiniert zwei alte Schwachstellen zu einem verheerenden DoS-Angriff. Mit einer 100-MBit/s-Leitung kann ein Angreifer 32–64 GB Serverspeicher in 20 Sekunden aufbrauchen – und Ihr System lahmlegen. Microsoft IIS ist weiterhin ungepatcht. Dieser Report liefert die Sofort-Checkliste zur HTTP/2-Konfiguration, ein Notfall-Playbook und 5 Erkennungstools. Sicherheits-Report jetzt anfordern
Das Besondere an der „HTTP/2 Bomb“: Sie kombiniert zwei seit einem Jahrzehnt bekannte Sicherheitslücken. Eine HPACK-Bombe (CVE-2016-6581) und eine Slowloris-artige Flusskontrolle (CVE-2016-8740) werden so miteinander verknüpft, dass sie eine verheerende Wirkung entfalten.
Ein Angreifer mit einer 100-MBit/s-Leitung kann damit zwischen 32 und 64 Gigabyte Serverspeicher in nur 20 Sekunden aufbrauchen. Das System stürzt ab oder reagiert nicht mehr. Zum Vergleich: Herkömmliche DoS-Attacken benötigen oft riesige Botnetze, um ähnlichen Schaden anzurichten.
Fast 900.000 Websites betroffen
Recherchen über die Suchmaschine Shodan legen nahe, dass rund 880.000 Websites derzeit verwundbar sind. Besonders alarmierend ist der Verstärkungsfaktor der Attacke. Branchenmessungen zufolge erreicht der Exploit bei Envoy ein Verhältnis von 5.700:1 – aus einem Megabyte Angriffsdaten werden fast sechs Gigabyte Speicherlast. Bei Apache liegt der Faktor bei 4.000:1. Nginx und Microsoft IIS zeigen mit etwa 70:1 beziehungsweise 68:1 zwar niedrigere, aber immer noch gefährliche Werte.
Das Prinzip: Der Angriff hält Verbindungen offen, während er stark komprimierte Daten liefert. Der Server muss massive Mengen Arbeitsspeicher reservieren – bis zum Zusammenbruch.
Patch-Update: Wer ist geschützt?
Die Veröffentlichung hat eine Welle von Sicherheitsupdates ausgelöst. Nginx schloss die Lücke bereits im Frühjahr mit Version 1.29.8. Apache veröffentlichte im Mai ein Update für sein mod_http2-Modul (Version 2.0.41), das unter CVE-2026-49975 geführt wird. Auch Envoy hat Patches für Version 1.35.11 und folgende bereitgestellt.
Doch nicht alle Hersteller haben reagiert. Microsoft IIS ist weiterhin ungepatcht. Und Cloudflare? Dessen Plattform Pingora gilt zwar als potenziell betroffen, der Konzern bestreitet jedoch die Gefahr. Die bestehenden DDoS-Abwehrsysteme reichten aus, um den Exploit abzuwehren, so das Unternehmen.
KI als zweischneidiges Schwert
Anzeige: KI-generierte Exploits wie die HTTP/2 Bomb erhöhen das Risiko für jeden Serverbetreiber. Der Verstärkungsfaktor liegt bei Envoy bei 5.700:1 – aus 1 MB Angriffsdaten werden 6 GB Speicherlast. Ohne strikte Verbindungslimits und aktuelle Patches sind auch Ihre Systeme verwundbar. Der Report zeigt, wie Sie HPACK-Bomben erkennen und Ihre Abwehr in 3 Schritten härten. DoS-Abwehr-Playbook jetzt sichern
Der Fall zeigt die Doppelnatur von KI-Tools wie Codex in der Cybersicherheit. Einerseits half die Künstliche Intelligenz, einen ausgeklügelten Exploit zu identifizieren, der jahrelang unentdeckt blieb. Andererseits wurden Proof-of-Concept-Skripte auf GitHub veröffentlicht – was den Druck auf Systemadministratoren erhöht, ihre HTTP/2-Implementierungen zu prüfen und strikte Verbindungslimits zu setzen.
Ausführliche Details zur „HTTP/2 Bomb“ sollen auf der Real World AI Security Conference vorgestellt werden, die vom 23. bis 25. Juni 2026 stattfindet.
Die Entdeckung fällt in eine Zeit, in der OpenAI seine technischen Kapazitäten massiv ausbaut. In einer aktuellen Aussage vor Gericht erklärte OpenAI-Präsident Greg Brockman, das Unternehmen erwarte für 2026 Ausgaben von rund 50 Milliarden Dollar für Rechenleistung – als Teil eines Plans, mehr als eine Billion Dollar in KI-Infrastruktur zu investieren.
