Ein vermeintlicher Windows-Kernel-Fehler mit der Kennung CVE-2026-32775 sorgte Mitte März 2026 für Verwirrung in IT-Abteilungen. Nach dem umfangreichen Patch Tuesday von Microsoft suchten Sicherheitsteams vergeblich nach einem entsprechenden Update. Die Wahrheit: Es handelt sich um eine kritische Schwachstelle in einer weit verbreiteten Open-Source-Bibliothek.
Der aktuelle Vorfall um die libexif-Bibliothek zeigt, wie schnell Unternehmen bei komplexen Cyber-Bedrohungen den Überblick verlieren können. Dieser kostenlose Leitfaden bietet Geschäftsführern und IT-Verantwortlichen wertvolle Strategien, um die IT-Sicherheit proaktiv zu stärken und auf neue Gefahren vorbereitet zu sein. Experten-Report: Effektive Strategien gegen Cyberkriminelle entdecken
Die Jagd nach dem Phantom-Patch
Die Verwirrung begann mit dem massiven Microsoft-Patchday im März 2026. Das Unternehmen schloss 83 Sicherheitslücken, darunter kritische Fehler in SQL Server und Office. In diesem Hochbetrieb meldeten einige automatische Scanner und Sicherheitsdienste plötzlich die neue, angeblich Windows-spezifische Schwachstelle CVE-2026-32775 als dringend zu patchend.
Doch die Suche nach dem offiziellen Microsoft-Update blieb erfolglos. Das Portal des Microsoft Security Response Center zeigte für diese Kennung lediglich einen „Seite nicht gefunden“-Fehler an. Für Sicherheitsanalysten ein klares Zeichen: Entweder wurde die CVE-Kennung zurückgezogen, falsch übermittelt – oder sie betrifft überhaupt kein Microsoft-Produkt.
Genau das ist der Fall. Die am 16. März 2026 veröffentlichten Details in den offiziellen Schwachstellen-Datenbanken brachten Klarheit. CVE-2026-32775 ist kein Windows-Fehler, sondern eine hochkritische Sicherheitslücke in libexif, einer quelloffenen C-Bibliothek zum Auslesen von Bild-Metadaten.
Die echte Gefahr: Hochriskante Lücke in Bildverarbeitungs-Bibliothek
Die technischen Details der Schwachstelle sind alarmierend. Der Fehler steckt in der Dekodier-Routine für sogenannte MakerNotes – herstellerspezifische Zusatzinformationen in Bilddateien. Erhält die Funktion einen Größenparameter von Null, kommt es zu einem Integer-Underflow. Dieser Rechenfehler führt dazu, dass der bereitgestellte Speicherpuffer überschrieben wird.
Das Common Vulnerability Scoring System stuft die Lücke mit einem Basis-Score von 7,4 als hochkritisch ein. Die Ausnutzung könnte die Vertraulichkeit, Integrität und Verfügbarkeit eines Systems gefährden. Das Tückische: Zum Auslösen reicht es aus, eine speziell präparierte Bilddatei zu verarbeiten. Weder erhöhte Berechtigungen noch komplexe Benutzerinteraktion sind nötig.
Warum Windows-Nutzer trotzdem betroffen sind
Auch wenn der Fehler nicht im Windows-Kernel steckt, können Windows-Systeme gefährdet sein. Die libexif-Bibliothek ist äußerst portabel und in unzähligen Drittanbieter-Programmen integriert. Jede Software, die libexif zur Anzeige von Bild-Eigenschaften, zur Erstellung von Vorschaubildern oder zur Bildbearbeitung nutzt, könnte eine Angriffsfläche bieten.
Öffnet ein Nutzer auf einem Windows-Rechner eine manipulierte Bilddatei mit einem solchen Programm, könnte der Integer-Underflow theoretisch für die Ausführung von Schadcode oder einen Denial-of-Service-Angriff im Kontext dieser Anwendung genutzt werden. Ein Windows-System könnte also selbst dann angreifbar bleiben, wenn alle Microsoft-Updates vom Patch Tuesday installiert sind.
„Dieser Vorfall zeigt einen typischen blinden Fleck der Unternehmenssicherheit“, kommentiert ein Sicherheitsexperte. „Man konzentriert sich oft ausschließlich auf Betriebssystem-Updates von großen Anbietern wie Microsoft und vernachlässigt die Open-Source-Abhängigkeiten in der Drittanbieter-Software.“
Systemische Probleme im Schwachstellen-Management
Die Fehlzuordnung von CVE-2026-32775 wirft ein Schlaglicht auf grundlegende Herausforderungen im Cybersecurity-Ökosystem. Die schiere Menge monatlich entdeckter Sicherheitslücken überfordert sowohl die zuweisenden Stellen als auch die Verteidiger in den Unternehmen. Bei einer hochkritischen Meldung ist der erste Reflex oft die Suche nach einem zentralen Patch eines großen Herstellers – der für eigenständige Open-Source-Bibliotheken so nicht existiert.
Der Vorfall unterstreicht die Dringlichkeit von Software Bill of Materials. Ein umfassender Software-Warenbestand würde es Unternehmen ermöglichen, ihre Systeme gezielt nach bestimmten, gefährdeten Komponenten wie libexif in Version 0.6.25 abzufragen – unabhängig vom zugrundeliegenden Betriebssystem. Ohne diese Transparenz sind IT-Abteilungen auf fragmentierte Sicherheitshinweise angewiesen und verschwenden Ressourcen mit der Verfolgung falscher CVE-Kennungen.
Angesichts der steigenden Zahl an Schwachstellen und neuen gesetzlichen Anforderungen stehen viele Unternehmen vor personellen Herausforderungen. Wie Sie Ihre IT-Sicherheit ohne teure neue Mitarbeiter stärken und sich effektiv vor Angriffen schützen, erfahren Sie in diesem kostenlosen E-Book. Kostenlosen IT-Sicherheits-Leitfaden jetzt herunterladen
So müssen Unternehmen jetzt reagieren
Für IT-Sicherheitsteams bedeutet das eine Kurskorrektur. Die Suche nach einem nativen Windows-Patch für CVE-2026-32775 bei Microsoft ist sinnlos. Stattdessen muss der Fokus auf der Identifizierung und Aktualisierung von Drittanbieter-Anwendungen liegen, die libexif nutzen.
Hersteller, die libexif in ihre Produkte einbinden, werden in den kommenden Wochen eigene Sicherheitshinweise und aktualisierte Versionen veröffentlichen. Die Entschärfung erfordert ein Update der libexif-Komponente auf eine gepatchte Version, die Null-Größen-Eingaben bei der MakerNotes-Dekodierung korrekt verarbeitet.
Bis alle betroffenen Programme aktualisiert sind, raten Experten zur Vorsicht beim Verarbeiten nicht vertrauenswürdiger Bilddateien, insbesondere aus externen oder nicht verifizierten Quellen. Die Ereignisse Mitte März 2026 erinnern eindringlich daran: Effektive Cybersicherheit endet nicht am Betriebssystem, sondern muss das komplexe Geflecht aller Software-Abhängigkeiten im Blick behalten.
