Sicherheitsforscher Chaotic Eclipse hat mit GreatXML einen neuen, ungepatchten BitLocker-Bypass veröffentlicht: Zwei XML-Dateien in der Recovery-Partition reichen aus, um eine SYSTEM-Shell auf dem verschlüsselten Laufwerk zu öffnen — auf Systemen, die einmal…
Angreifer nutzten CVE-2026-42897 — eine XSS-Lücke im Outlook Web Access von Exchange Server — seit mindestens Mai aus. CISA listete sie am 15. Mai als aktiv ausgenutzt; der vollständige Patch ist seit…
Eine Race Condition in Microsoft Defender lässt sich auf vollständig gepatchten Windows 10/11-Systemen zu SYSTEM-Rechten ausnutzen — Forscher "Nightmare Eclipse" hat einen öffentlichen PoC veröffentlicht, ohne dass Microsoft einen Patch oder eine…
Microsofts Juni-Patchday adressiert 200 Sicherheitslücken, davon 33 kritische — darunter YellowKey, ein BitLocker-Bypass, der physischen Zugriff auf verschlüsselte Laufwerke ohne PIN oder Passwort ermöglicht.
Google schließt mit Chrome 149.0.7827.102/103 eine aktiv ausgenutzte Lücke im V8-JavaScript-Engine (CVE-2026-11645, CVSS 8,8) sowie 73 weitere Schwachstellen. Browser-Neustart nach dem Update ist Pflicht.
Eine Authentifizierungslücke mit CVSS 9.3 in Check-Point-VPN-Produkten wird seit Mai aktiv angegriffen — mindestens eine Attacke ist der Qilin-Ransomware-Gruppe zuzuordnen. Patches stehen bereit.
Ein autonomer KI-Sicherheitsagent hat in FFmpeg 21 bisher unbekannte Schwachstellen gefunden, manche davon 23 Jahre alt. Chrome 149 patcht derweil einen Rekord von 429 Sicherheitslücken.
CVE-2026-20245 im Cisco Catalyst SD-WAN Manager wird aktiv ausgenutzt: Ein Command-Injection-Fehler verschafft Angreifern mit netadmin-Rechten root-Zugriff auf den Manager – und einen Patch gibt es bislang nicht.
Zwei kritische Zero-Days mit CVSS 10 gefährden den Acer Wave 7 Mesh-Router: Eine ungesicherte Log-Datei gibt Klartext-Passwörter preis, ein hardcodierter AES-Schlüssel ermöglicht persistente Backdoors. Patches erscheinen erst Ende Juni 2026.
Ungepatchte Zero-Day-Lücke in Visual Studio Code (github.dev) ermöglicht OAuth-Token-Diebstahl per präpariertem Link — Vollzugriff auf alle GitHub-Repositories, private eingeschlossen. Ein offizieller Fix existiert bislang nicht.