Sicherheitsanalyse: Mythos findet 23.000 Lücken in Open-Source

000 Open-Source-Projekten fast 23.000 Schwachstellen aufgedeckt. Das System namens Mythos, entwickelt von Anthropic im Rahmen des Projekts Glasswing, identifizierte rund 6.200 kritische oder hochriskante Sicherheitslücken. Die Ergebnisse, die Ende Mai veröffentlicht wurden, zeigen eine Trefferquote von über 90 Prozent – ein Meilenstein für automatisierte Sicherheitsprüfungen.

Angesichts der rasanten Zunahme von Software-Schwachstellen müssen Unternehmen ihre IT-Sicherheit heute proaktiver denn je gestalten. Erfahren Sie in diesem kostenlosen E-Book, wie Sie aktuelle Bedrohungen frühzeitig erkennen und Ihr Unternehmen ohne hohe Investitionen langfristig schützen. IT-Sicherheits-Guide für Unternehmer kostenlos herunterladen

Bedrohungslage erreicht neue Dimension

Die Zahlen passen in ein besorgniserregendes Gesamtbild. Der aktuelle Verizon Data Breach Report 2026 stellt fest, dass Software-Schwachstellen inzwischen für 31 Prozent aller Datenlecks verantwortlich sind. Google bestätigte zudem erst in diesen Tagen, dass KI bereits erfolgreich eingesetzt wurde, um eine Zero-Day-Lücke zu entdecken und auszunutzen.

Doch damit nicht genug: Auch die Lieferketten von Softwareentwicklern geraten zunehmend ins Visier von Angreifern.

Angriff auf die Lieferkette: Gefälschte Pakete im Umlauf

Microsoft Threat Intelligence deckte Ende Mai einen Angriff auf den Paketmanager npm auf. Unbekannte veröffentlichten bösartige Pakete, die die internen Namensräume legitimer Unternehmen imitierten. Die Methode ist als Dependency Confusion bekannt.

Die Schadsoftware führt nach der Installation eine verschleierte Aufklärung aus: Sie sammelt Systeminformationen und Umgebungsvariablen aus den Entwicklerumgebungen. Bislang scheint es sich um eine reine Spähaktion zu handeln – doch Analysten warnen vor möglichen Folgeschritten. Microsoft hat die betrügerischen Pakete und die dazugehörigen Nutzerkonten inzwischen entfernt.

Enterprise-VPNs unter Beschuss

Auch etablierte Unternehmensinfrastruktur steht im Fokus der Angreifer. Die US-Behörde CISA nahm Ende Mai die Schwachstelle CVE-2026-0257 in ihren Katalog bekannter Sicherheitslücken auf. Der Fehler betrifft Palo Alto Networks PAN-OS GlobalProtect und Prisma Access. Angreifer können Sicherheits-Cookies fälschen und so die Authentifizierung umgehen.

Sicherheitsforscher von Rapid7 beobachteten ab Mitte Mai aktive Angriffe. Die Angriffe gingen von Servern bei Vultr und Dromatics Systems aus. Betroffen sind Geräte, die dasselbe Zertifikat für HTTPS und die Authentifizierungs-Übersteuerung nutzen. Palo Alto Networks hat Patches für mehrere PAN-OS-Versionen veröffentlicht, darunter 12.1.4-h6 und 10.2.18-h6.

Ob VPN-Schwachstellen oder gezieltes Phishing – Angreifer nutzen jede Lücke in der Unternehmensinfrastruktur und im Nutzerverhalten gnadenlos aus. Dieser kostenlose Ratgeber zeigt Ihnen in 4 Schritten, wie Sie eine effektive Hacker-Abwehr aufbauen und sich gegen moderne Cyberkriminalität wappnen. Anti-Phishing-Paket für Unternehmen jetzt gratis sichern

ChatGPT mit Sicherheitslücke im Markdown-Renderer

Selbst KI-Plattformen bleiben nicht verschont. Forscher von Permiso Security entdeckten eine Schwachstelle namens ChatGPhish im Markdown-Renderer von ChatGPT. Der Renderer lädt automatisch Bilder und aktiviert Links aus zusammengefassten Webseiten.

Angreifer können Tracking-Pixel, QR-Codes oder gefälschte Sicherheitswarnungen direkt in die Sitzung eines Nutzers einbetten. Ein Proof-of-Concept zeigte, dass sich auf diese Weise IP-Adressen und Gerätedaten abgreifen lassen – ohne dass der Nutzer aktiv wird. OpenAI arbeitet eigenen Angaben zufolge an einem Fix.

de | wissenschaft | 69452058 |