Microsoft hat im Rahmen seines größten Patch-Dienstags aller Zeiten eine kritische Sicherheitslücke im Edge-Browser geschlossen. Der Fehler mit der Kennung CVE-2026-45495 ermöglicht Angreifern die Ausführung von Schadcode aus der Ferne – und ist nur eine von über 200 behobenen Schwachstellen.
Gefährliche Lücke im Feedback-System
Die als kritisch eingestufte Edge-Lücke erreicht einen CVSS-Score von 7,5. Ursache ist ein Fehler bei der Validierung von Feedback-Protokolldateien im Browser. Gelingt die Ausnutzung, können Angreifer beliebigen Code auf dem Zielsystem ausführen.
Anzeige: Der größte Patch-Dienstag aller Zeiten betrifft auch Ihr Netzwerk. 38 kritische Lücken, darunter eine wurmfähige TCP/IP-Schwachstelle ohne Authentifizierung – Angreifer müssen nur ein einziges ungepatchtes System finden. Unser kostenloser Notfallplan zeigt, wie Sie in 5 Schritten die kritischsten Lücken priorisieren und schließen. Jetzt Notfallplan anfordern
Der Sicherheitsforscher Orange Tsai von DEVCORE hatte das Problem bereits am 20. Mai 2026 gemeldet. Die gute Nachricht: Für einen erfolgreichen Angriff ist eine Benutzerinteraktion nötig – etwa der Besuch einer präparierten Webseite oder das Öffnen einer manipulierten Datei. Microsoft veröffentlichte den Patch am 5. Juni, zusammen mit Korrekturen für zwei weitere Edge-Lücken (CVE-2026-45494 und CVE-2026-45492).
Rekordverdächtiger Patch-Tag
Die Edge-Updates waren Teil des Patch-Dienstags vom 9. Juni – dem umfangreichsten in der Unternehmensgeschichte. Insgesamt schloss Microsoft 206 Sicherheitslücken, darunter 38 kritische.
Besonders brisant: CVE-2026-45657, eine Schwachstelle im Windows-TCP/IP-Stack mit einem CVSS-Score von 9,8. Der Fehler ist „wurmfähig“ – er benötigt weder Authentifizierung noch Benutzerinteraktion. Weitere kritische Patches betreffen den DHCP-Client, Hyper-V und Microsoft-Office-Anwendungen.
Branchenbeobachter führen die hohe Zahl entdeckter Lücken auf den zunehmenden Einsatz künstlicher Intelligenz bei der Fehlersuche zurück.
Chromium-Erbe macht Edge verwundbar
Die Sicherheitslage wird durch die gemeinsame Architektur mit Googles Chromium zusätzlich verkompliziert. Am 9. Juni nahm die US-Cybersicherheitsbehörde CISA eine Chromium-Zero-Day-Lücke in ihren Katalog bekannter ausgenutzter Schwachstellen auf.
Der Fehler CVE-2026-11645 betrifft die V8-JavaScript-Engine und ermöglicht einen Speicherzugriffsfehler. Mit einem CVSS-Score von 8,8 wird die Lücke bereits aktiv ausgenutzt. Da Edge auf Chromium basiert, ist auch der Microsoft-Browser betroffen. CISA setzte Bundesbehörden eine Frist bis zum 23. Juni, um Chrome, Edge und Opera zu aktualisieren.
Anzeige: Chromium-basierte Browser wie Edge teilen sich eine gemeinsame Architektur – und damit auch Sicherheitslücken. Der aktuell aktiv ausgenutzte Zero-Day CVE-2026-11645 betrifft auch Ihren Browser. Unser Report liefert 5 konkrete Härtungsmaßnahmen, um Edge & Co. gegen solche Angriffe zu wappnen – inklusive Priorisierungs-Checkliste für die 38 kritischen Patches. Browser-Härtungs-Report jetzt sichern
Neue Gefahren auf der Pwn2Own-Bühne
Kaum waren die Rekord-Patches ausgerollt, wurden bereits neue Schwachstellen demonstriert. Am 10. Juni gelangen Teilnehmern der Hacking-Konferenz Pwn2Own Berlin erfolgreiche Angriffe auf Windows 11 und Microsoft Edge. Solche Wettbewerbe helfen Herstellern, Sicherheitslücken zu schließen, bevor Kriminelle sie ausnutzen können.
Parallel dazu veröffentlichte der Forscher Nightmare Eclipse einen Proof-of-Concept für eine neue Windows-Defender-Lücke namens „RoguePlanet“. Der Exploit ermöglicht eine lokale Rechteausweitung auf SYSTEM-Ebene – und das auf vollständig gepatchten Windows-10- und Windows-11-Systemen. Die Technik nutzt die Defender-Quarantäne-Pipeline aus, ohne auf Speicherfehler oder Kernel-Bugs angewiesen zu sein. Microsoft hat eine Untersuchung eingeleitet.
