Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Sicherheit & Datenschutz 12.06.2026 · 4 min Lesezeit

KI-Agent findet 21 Zero-Days in FFmpeg – Chrome 149 schließt Rekordzahl von 429 Lücken

Ein autonomer KI-Sicherheitsagent hat in FFmpeg 21 bestätigte Zero-Days aufgedeckt – teils seit 23 Jahren im Code. Zeitgleich patcht Google mit Chrome 149 eine Rekordzahl von 429 Schwachstellen, darunter ein kritischer Bug mit CVSS 9,6.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
KI Agent entdeckt 21 Zero Day Schwachstellen in FFmpeg während Chrome 149 insgesamt 429 Sicherheitslücken schließt

Ein autonomer Sicherheitsagent des Unternehmens depthfirst hat in FFmpegs rund 1,5 Millionen Zeilen C-Code 21 bestätigte Zero-Day-Schwachstellen aufgedeckt – bei Gesamtkosten von lediglich rund 1.000 US-Dollar. Mehrere der gefundenen Fehler sind seit 15 bis 23 Jahren im Code vorhanden, einer sogar seit 2003. Zeitgleich hat Google mit Chrome 149 einen Rekord gebrochen: 429 Sicherheitslücken wurden in einem einzigen Release geschlossen, davon über 100 als kritisch oder hochschwer eingestuft. Die Kombination beider Ereignisse markiert einen Wendepunkt in der KI-gestützten Schwachstellenforschung.

Die Schwachstellen: Was ist passiert?

Der KI-Agent von depthfirst analysierte automatisch den vollständigen FFmpeg-Quellcode und lieferte zu jedem Fund reproduzierbare Proof-of-Concept-Eingaben (PoCs). Die entdeckten Schwachstellen konzentrieren sich auf Heap- und Stack-Overflows in Parsern und Demuxern – konkret im TS-Demuxer und im VP9-Decoder. Solche Speicherfehler in tief verwurzelten Medienverarbeitungskomponenten sind besonders gefährlich, da FFmpeg in zahlreicher Streaming-, Broadcast- und Medieninfrastruktur eingesetzt wird.

Beim Chrome-Release 149 sticht vor allem CVE-2026-10881 hervor: ein Out-of-Bounds-Read/Write in der ANGLE-Grafikengine mit einem CVSS-Score von 9,6. Die Lücke ermöglicht einen Sandbox-Escape sowie Remote Code Execution. Google vergütete den Fund mit einer Bug-Bounty von 97.000 US-Dollar. Von den 429 gepatchten Lücken wurden mehr als 100 als kritisch oder hochschwer klassifiziert – eine Zahl, die für ein einzelnes Chrome-Release beispiellos ist.

ProduktSchwachstelle / DetailsCVSSStatus
FFmpeg21 Zero-Days (Heap/Stack-Overflows, TS-Demuxer, VP9-Decoder)n/a (noch offen)Patches ausstehend
Chrome 149CVE-2026-10881 – Out-of-Bounds in ANGLE (Sandbox-Escape, RCE)9,6 (kritisch)Gepatcht in 149.0.7827.102/.103
Chrome 149429 weitere Schwachstellen, davon >100 kritisch/hochschwerverschiedenGepatcht in 149.0.7827.102/.103

Bin ich betroffen?

Von den FFmpeg-Schwachstellen sind grundsätzlich alle Systeme betroffen, auf denen FFmpeg zur Video- oder Audiobearbeitung, für Transcoding oder als Teil von Streaming-Infrastruktur eingesetzt wird. Da reproduzierbare PoCs vorliegen, besteht ein erhöhtes Risiko, dass Angreifer die Lücken kurzfristig ausnutzen. Besonders gefährdet sind Systeme, die nicht vertrauenswürdige Mediendateien verarbeiten.

Von den Chrome-Schwachstellen sind alle Nutzer von Google Chrome auf Windows, macOS und Linux betroffen, sofern sie noch nicht auf Version 149.0.7827.102 oder 149.0.7827.103 aktualisiert haben. Die aktuelle Version lässt sich unter chrome://settings/help prüfen.

Zur Überprüfung der installierten FFmpeg-Version:

ffmpeg -version

Wie behebe ich das?

Chrome: Das Update auf Version 149.0.7827.102 oder 149.0.7827.103 sollte sofort eingespielt werden. Chrome aktualisiert sich in der Regel automatisch; der Status lässt sich unter chrome://settings/help prüfen und das Update manuell anstoßen. Anschließend ist ein Neustart des Browsers erforderlich.

FFmpeg: Offizielle Patches der FFmpeg-Maintainer sind abzuwarten und sobald verfügbar einzuspielen. In der Zwischenzeit empfiehlt es sich, die Verarbeitung nicht vertrauenswürdiger Mediendateien auf exponierten Systemen einzuschränken. Wer FFmpeg in containerisierten Umgebungen betreibt, sollte auf aktualisierte Images achten – wie das grundsätzliche Vorgehen bei Container-Updates in der Anleitung Docker Compose: Grundlagen und Stacks verwalten beschrieben ist.

Allgemeine Absicherung: Systeme, die Mediendateien aus dem Internet verarbeiten, sollten in isolierten Netzwerksegmenten oder Containern betrieben werden. Eine Härtung des Linux-Hosts, etwa mit UFW und Fail2ban, reduziert die Angriffsfläche zusätzlich – wie in der Anleitung Linux-Server absichern mit UFW und Fail2ban erläutert.

Was bedeutet das für Unternehmen?

Die Ereignisse rund um FFmpeg und Chrome 149 sind symptomatisch für einen grundlegenden Wandel in der Schwachstellenforschung. KI-Agenten können heute riesige Codebasen für unter 1.000 US-Dollar auf Sicherheitslücken absuchen – und das in einer Qualität, die bislang nur großen Sicherheitsteams vorbehalten war. Dass Fehler aus den Jahren 2003 bis 2011 erst jetzt zutage treten, zeigt, wie viel Potential in Legacy-Code schlummert.

Für Unternehmen ergibt sich daraus eine doppelte Herausforderung: Einerseits werden Angreifer dieselben KI-Methoden nutzen, um Schwachstellen zu finden, bevor Patches existieren. Andererseits steigt der Druck, eigene Codebasen proaktiv zu scannen. Google hat im April sein Bug-Bounty-Programm bereits überarbeitet, nachdem die Flut KI-generierter Einreichungen die bisherigen Prozesse überfordert hatte.

FFmpeg ist tief in Medien-, Streaming- und Broadcast-Infrastruktur verwurzelt. Ungepatchte Heap-Overflows in Demuxern und Decodern sind klassische Einstiegspunkte für Angreifer, die auf Code Execution abzielen. Das Chrome-Update ist besonders in verwalteten Unternehmensumgebungen dringend – 429 Patches in einem Release bedeuten eine ungewöhnlich breite Angriffsfläche, die innerhalb kürzester Zeit geschlossen werden muss. IT-Verantwortliche sollten KI-generierte Schwachstellenberichte auch in ihren eigenen Software-Development-Lifecycle (SDLC) integrieren und regelmäßige automatisierte Audits einplanen.

Für den Aufbau einer robusten Zwei-Faktor-Authentifizierung als ergänzende Schutzmaßnahme gegen kompromittierte Systeme bietet s-edv.com weitere Hintergründe: Zwei-Faktor-Authentifizierung und MFA einführen.

Quellen: The Hacker News: AI Agent Uncovers 21 Zero-Days in FFmpeg; Chrome Patches Record 429 Bugs | The Hacker News: Chrome V8 Zero-Day CVE-2026-11645 Exploited in the Wild | BleepingComputer: Google patches new Chrome zero-day flaw

Verwandt

Weiter lesen

Alle Artikel →
Microsoft veröffentlicht Extended Security Update
12.06.2026 ·3 min

Windows 10 KB5094127: Microsoft veröffentlicht Extended Security Update für End-of-Life-Systeme

Microsoft hat am 9. Juni 2026 das Extended Security Update KB5094127 für Windows 10 veröffentlicht. Da Windows 10 seit Oktober 2025 End-of-Life ist, erhalten nur noch Organisationen mit ESU-Lizenz diese Sicherheitsfixes – ohne Patch droht ein erhebliches Angriffsrisiko.
Gebrochenes Sicherheitsschild mit roten Warnsignalen – Symbol für den Microsoft Patchday Juni 2026
12.06.2026 ·4 min

Bitskrieg CVE-2026-50507: Zweite BitLocker-Bypass-Lücke im Juni-Patchday schließt TPM-Lücke

Der Juni-Patchday 2026 schließt mit CVE-2026-50507 (Bitskrieg) eine zweite BitLocker-Bypass-Schwachstelle – spezifisch für TPM-only-Systeme. Zusammen mit YellowKey (CVE-2026-45585) entstehen zwei Angriffspfade auf BitLocker. Betroffen: Windows 11 und Server 2022/2025.
Hero-Grafik zu GreenPlasma CVE-2026-45586: Windows-CTFMON-Lücke ermöglicht SYSTEM-Rechte und wird im Juni-Patchday geschlossen
12.06.2026 ·4 min

GreenPlasma CVE-2026-45586: Windows-CTFMON-Lücke ermöglicht SYSTEM-Rechte – Juni-Patchday

Microsoft hat mit dem Juni-2026-Patchday die Zero-Day-Lücke GreenPlasma (CVE-2026-45586) im Windows-CTFMON-Dienst geschlossen. Authentifizierte lokale Angreifer konnten damit SYSTEM-Rechte erlangen – ein gefährlicher Angriffsvektor vor allem für Ransomware-Akteure.