Microsoft hat ein dringendes Sicherheitsupdate für den Edge-Browser veröffentlicht. Forscher entdeckten einen schwerwiegenden Fehler bei der Speicherung von Passwörtern.
Der Fehler war gravierend: Microsoft Edge lud gespeicherte Passwörter beim Start unverschlüsselt in den Arbeitsspeicher – im Klartext. Das Update auf Version 148.0.3967.70 vom 15. Mai 2026 behebt dieses Problem nun. Damit gleicht Microsoft die Sicherheitspraktiken seines Browsers endlich denen anderer Chromium-basierter Konkurrenten an.
Ihr PC gilt als ‚inkompatibel‘ für Windows 11? Die Gratis-PDF zeigt das Upgrade Schritt für Schritt – ohne neue Hardware und ohne Datenverlust. Diesen legalen Weg für inkompatible PCs jetzt entdecken
Die Entdeckung des Speicher-Leaks
Der Sicherheitsforscher Tom Jøran Sønstebyseter Rønning stieß auf das Problem: Edge war der einzige große Chromium-Browser, der sämtliche gespeicherten Passwörter direkt nach dem Start entschlüsselte und im Prozessspeicher vorhielt. Die Konsequenz: Jede Schadsoftware mit Zugriff auf den Systemspeicher konnte die gesamte Passwortdatenbank auslesen – ohne die internen Verschlüsselungsschichten des Browsers umgehen zu müssen.
Branchenexperten bewerteten diese Architekturentscheidung als erhebliche Abweichung von den Sicherheitsstandards. Während andere Browser sensible Daten erst dann entschlüsseln, wenn der Nutzer eine automatische Eingabe anfordert, erhöhte Edges Vorgehen die Angriffsfläche für speicherbasierte Exploits drastisch.
Gareth Evans, Microsofts Sicherheitschef für Edge, bestätigte die Implementierung einer neuen Sicherheitsarchitektur. Er bezeichnete das Update als „Defense-in-Depth“-Verbesserung, die verhindert, dass entschlüsselte Zugangsdaten dauerhaft im RAM verbleiben. Die Änderung ist Teil der breiter angelegten „Secure Future Initiative“, die die Sicherheitsgrundlagen der gesamten Microsoft-Softwarepalette modernisieren soll.
Technischer Umfang des Mai-Updates
Die Version 148.0.3967.70 behebt nicht nur das Passwortproblem. Sie schließt auch mehrere kritische Schwachstellen, die unbefugte Codeausführung und Sandbox-Escapes ermöglichten. Die dokumentierten CVE-Einträge umfassen unter anderem CVE-2026-8587, CVE-2026-8580 und CVE-2026-8511.
Darüber hinaus adressiert das Update Schwachstellen in der zugrunde liegenden Chromium-Engine. Dazu gehören Typverwechslungsfehler und speicherbezogene Bugs wie CVE-2026-45495 und CVE-2026-45492, die eine Remotecodeausführung ermöglichen könnten – etwa wenn ein Nutzer eine präparierte Website besucht. Bereits am 11. Mai 2026 veröffentlichte Microsoft ein entsprechendes Update für die iOS-Version von Edge.
Der Rollout umfasst alle wichtigen Edge-Kanäle: Stable, Beta, Dev und Extended Stable. Nutzer des Canary-Kanals hatten frühere Versionen des Fixes bereits in der Testphase erhalten. Microsoft fordert alle Unternehmens- und Privatanwender auf, ihre Browserversion zu prüfen und das Update umgehend zu installieren.
Einbettung in die Secure Future Initiative
Die Behebung des Passwort-Leaks fällt in den breiteren Kontext der Mai-Sicherheitsupdates – dem sogenannten „Patch Tuesday“. Microsoft befindet sich derzeit in einer komplexen Übergangsphase: Der Support für Windows 10 endet am 13. Oktober 2026. Diese Deadline treibt das Unternehmen an, die Sicherheitsfunktionen von Windows 11 zu beschleunigen, um Nutzer zur Migration zu bewegen.
Der Wechsel auf das modernere Betriebssystem stellt viele Anwender vor große Hürden bei der Datenübernahme. Dieser kostenlose Gratis-Report bündelt alles Wichtige, damit der Umstieg reibungslos und ohne Datenverlust klappt. Windows 11 Komplettpaket jetzt kostenlos sichern
Das Unternehmen hat kürzlich mehrere Initiativen angekündigt, die die Zuverlässigkeit und Sicherheit des Windows-Ökosystems verbessern sollen. Dazu gehören die „Driver Quality Initiative“ (DQI) und das „Cloud-Initiated Driver Recovery“-System (CIDR). CIDR erkennt fehlerhafte Treiber-Updates automatisch und macht sie rückgängig, bevor sie Systemabstürze – die berüchtigten „Blue Screens“ – verursachen können. Das System befindet sich von Mai bis August 2026 in der Testphase, der öffentliche Start ist für September 2026 geplant.
Auf der WinHEC 2026 gaben Microsoft-Verantwortliche zudem bekannt, dass Treiber-Qualitätsbewertungen künftig auch Metriken für Akkuverbrauch und thermische Auswirkungen umfassen. Treiber, die CPU-Schlafzustände blockieren oder im „Modern Standby“-Modus übermäßig Strom ziehen, werden markiert. Treiber, die diese neuen Standards nicht erfüllen, könnten aus dem Windows-Update-Verteilungssystem entfernt werden.
Analyse der aktuellen Bedrohungslage
Die Dringlichkeit des Edge-Updates wird durch eine zunehmende Zahl von Zero-Day-Exploits im Chromium-Ökosystem unterstrichen. Im Frühjahr 2026 identifizierten Sicherheitstracker mehrere aktive Exploits – darunter die als „YellowKey“ und „GreenPlasma“ bezeichneten Angriffe – für die zunächst keine Patches verfügbar waren. Diese Bedrohungen erhöhen den Druck auf Microsoft, sicherzustellen, dass Edge-spezifische Funktionen wie der Passwort-Manager keine sekundären Schwachstellen einführen.
Hinzu kommen kritische Fristen bei Systemzertifikaten: Secure-Boot-Zertifikate laufen am 26. Juni 2026 ab, was eine Reihe von Updates zur Sicherstellung der Systemintegrität erforderlich macht. Im Serverbereich wurde zudem eine aktive Zero-Day-Schwachstelle in Exchange (CVE-2026-42897) gemeldet – ein weiteres Beispiel für die Vielzahl von Sicherheitsfronten, die das Unternehmen derzeit verteidigen muss.
Für Unternehmensumgebungen gilt die Beseitigung von Klartext-Passwörtern im Arbeitsspeicher als notwendiger Schritt zur Einhaltung zunehmend strengerer Datenschutzvorschriften. Zwar erforderte der Fehler lokalen oder erhöhten Zugriff für eine Ausnutzung – doch der professionelle Konsens ist eindeutig: Die Speicherung entschlüsselter Zugangsdaten im RAM ist ein unnötiges Risiko, das moderne Browser-Architekturen vermeiden sollten.
Ausblick: Browsersicherheit und Betriebssystem-Migration
In der zweiten Jahreshälfte 2026 wird der Fokus voraussichtlich auf der Härtung der Windows-11-Umgebung liegen. Das kommende Windows 11 26H1-Update, das für das dritte Quartal 2026 erwartet wird, führt höhere Hardware-Anforderungen ein: eine Neural Processing Unit (NPU) mit 40 TOPS Leistung, 16 GB RAM und 256 GB NVMe-Speicher. Diese Hardware-Verschiebungen sollen robustere Sicherheitsfunktionen und erweiterte KI-Fähigkeiten unterstützen.
Auch der Edge-Browser wird sich weiterentwickeln. Während der „Copilot-Modus“ in aktuellen Builds offenbar eingestellt wird, fügt Microsoft Funktionen wie einen dedizierten Xbox-Modus und haptisches Feedback hinzu.
Für IT-Administratoren steht die Bereitstellung von KB5089549 und des Edge-Version-148-Updates im Vordergrund. Diese Patches stellen die primäre Verteidigung gegen die aktuelle Welle speicherbasierter Angriffe dar – und gegen die spezifische Passwort-Offenlegungslücke, die nun endgültig aus der Edge-Codebasis entfernt wurde.
