Startseite Nachrichten Details
KI-Agent entdeckt 21 Zero-Day-Schwachstellen in FFmpeg, Chrome behebt 429
2026-06-08 09:56
Merken

de.wedoany.com-Bericht: Ein auf Cybersicherheit spezialisiertes Startup namens depthfirst hat mithilfe eines autonomen KI-Agenten die Open-Source-Medienbibliothek FFmpeg mit rund 1,5 Millionen Zeilen C-Code gescannt und dabei 21 bisher unbekannte Zero-Day-Schwachstellen entdeckt, für die jeweils reproduzierbare Proof-of-Concept (PoC)-Eingaben vorliegen. Das Unternehmen gab an, dass die Durchführung dieser Aktion etwa 1.000 US-Dollar gekostet habe. Einige dieser Schwachstellen schlummerten bereits 15 bis 20 Jahre lang; ein Stapelüberlaufproblem im Code der Servicedeskriptortabelle lässt sich bis ins Jahr 2003 zurückverfolgen und existiert seit 23 Jahren.

Diese Schwachstellen konzentrieren sich hauptsächlich auf Parser und Demultiplexer und betreffen Komponenten wie den TS-Demultiplexer und den VP9-Decoder, wobei es sich meist um Heap- oder Stack-Überläufe handelt. depthfirst listete in seinem Bericht neun CVE-Identifikatoren (CVE-2026-39210 bis CVE-2026-39218) auf und wies darauf hin, dass die übrigen Schwachstellen bereits behoben, aber noch nicht mit Nummern versehen wurden. Das Unternehmen veröffentlichte zudem einen PoC.

In derselben Woche veröffentlichte Google die Version 149 von Chrome, mit der 429 Sicherheitslücken behoben wurden – ein Rekord für die Anzahl der Korrekturen in einer einzelnen Version. Davon waren über 100 als schwerwiegend oder hochriskant eingestuft; die Hauptprobleme waren Use-after-Free und unzureichende Eingabevalidierung. Die schwerwiegendste Schwachstelle war CVE-2026-10881 (CVSS 9.6), ein Out-of-Bounds-Read/Write-Fehler in der ANGLE-Grafik-Engine, für den Google 97.000 US-Dollar zahlte. Die meisten der behobenen Schwachstellen wurden intern von Google entdeckt: Von etwa 90 hochriskanten Schwachstellen stammten nur 10 von externen Forschern, und von 22 als schwerwiegend eingestuften Schwachstellen kamen 19 von internen Teams. Google stellte jedoch keinen direkten Zusammenhang zwischen den 429 Schwachstellen und KI her.

Google hatte zuvor im April sein Bug-Bounty-Programm reformiert, um der Flut KI-generierter Berichte zu begegnen, und verlangt nun von Einreichern präzise Reproduktionsschritte. Googles Big Sleep-Agent meldete im vergangenen Jahr eine Reihe von FFmpeg-Schwachstellen, die nun auf der Projektsicherheitsseite mit dem Label BIGSLEEP gekennzeichnet sind; das Mythos-Modell von Anthropic förderte eine seit 16 Jahren bestehende H.264-Schwachstelle und weitere in FFmpeg zutage, was etwa 10.000 US-Dollar kostete, wobei drei der Schwachstellen in FFmpeg 8.1 behoben wurden. Darüber hinaus entdeckte ein weiteres autonomes Tool in Redis eine authentifizierte Remote-Code-Ausführungsschwachstelle, die seit Version 7.2.0 seit über zwei Jahren existiert. Die Forschung zeigte zudem, dass eine Studie im Februar einen Agenten in die Lage versetzte, mehr als die Hälfte der gültigen PoCs von 100 echten Linux-Kernel-N-Day-Schwachstellen zu reproduzieren und damit Fuzzing zu übertreffen.

FFmpeg-Nutzer sollten so schnell wie möglich die reparierten Upstream-Builds oder Sicherheitsupdates ihrer Distributionen einspielen und Komponenten priorisieren, die nicht vertrauenswürdige RTSP- oder AV1-over-RTP-Daten verarbeiten. FFmpeg ist weit verbreitet in Medien-Pipelines, Python-Rädern, Container-Images und Geräten eingebunden; eingebettete Kopien benötigen ebenfalls Patches. Chrome-Nutzer müssen unter Linux auf Version 149.0.7827.53 oder unter Windows und macOS auf Version 149.0.7827.53/54 aktualisieren oder sicherstellen, dass die automatische Aktualisierung bereits ausgeführt wurde.

Das Auffinden von Schwachstellen ist billig geworden, während die Klassifizierung von Berichten, die Veröffentlichung von Patches und die Förderung der Installation dieser Patches bei den Nutzern weiterhin hauptsächlich von Freiwilligen und einer kleinen Anzahl manueller Klassifizierer getragen wird – dieser Bereich muss mit der KI-gesteuerten Entdeckungsgeschwindigkeit Schritt halten.

Dieser Artikel wurde von Wedoany übersetzt und bearbeitet. Bei jeglicher Zitierung oder Nutzung durch künstliche Intelligenz (KI) ist die Quellenangabe „Wedoany“ zwingend vorgeschrieben. Sollten Urheberrechtsverletzungen oder andere Probleme vorliegen, bitten wir Sie, uns unverzüglich zu benachrichtigen. Wir werden den entsprechenden Inhalt umgehend anpassen oder löschen.

E-Mail: news@wedoany.com

Amerika
IKTTechnik für Informationsvertraulichkeit und Datensicherheit
Vorheriger Artikel:US-CISA nimmt kritische SolarWinds Serv-U-Sicherheitslücke in KEV-Katalog auf
Nächster Artikel:AVEVA-Plattform führt industrielles Wissensgraph ein
relevante Produkte
Angebotsgespräch
Ka-Band Phased-Array-Antennen-Sende-Subarray
COXSAT TECHNOLOGY CO., LTD.
Angebotsgespräch
Industrieschalter für den Hausgebrauch
Shenzhen Yuhang Communication Technology Co., Ltd.
Angebotsgespräch
FAO (Autonome Fahrzeuge)
UniTTEC Co., Ltd.
Angebotsgespräch
Intelligentes Überwachungssystem für Förderbänder
LUO YANG WIRE ROPE INSPECTION TECHNOLOGY CO., LTD.
Angebotsgespräch
Singlemode-Glasfaser G.652B
SHENZHEN SDG INFORMATION CO., LTD.
Angebotsgespräch
Neolix X3 – der fahrerlose Kastenwagen
Neolix Beijing Technology Co., Ltd.
Angebotsgespräch /Set
Baolande Application Server Software V9.5
Beijing Baolande Software Corporation
Angebotsgespräch
SIS-Sicherheitsinstrumentierungslösung
Beijing Consen Automation Technology Co., Ltd.
Angebotsgespräch
Elektrohydraulisches Steuerungssystem für SAC-Hydraulikausbaugestelle
Beijing Tianma Intelligent Control Technology Co., Ltd.
Angebotsgespräch
Tragbares Satellitenterminal mit Flachbildschirm – manuelles tragbares Terminal mit 0,35-Meter-Öffnung
China Starwin Science & Technology co., Ltd.
Angebotsgespräch /Set
Kollaboratives Energiemanagement- und Steuerungssystem für Cloud, Edge und Endgeräte
Beijing Agent Devote Power Technology Development Co., Ltd.
Angebotsgespräch
TWP16 P-Band-Troposphären-Windprofiler-Radar
China Huayun Meteorological Technology Group Co., Ltd.
Empfehlungen in Verbindung damit
Umfrage zu KI im US-Gesundheitswesen: 34 % der Patienten würden KI ihre gesamte Krankenakte lesen lassen
2026-06-08
Auf der Shanghai Senior Care Expo werden KI-Pflegeprodukte der 1000-Yuan-Klasse vorgestellt
2026-06-08
Senseonics veröffentlicht auf der ADA Echtwelt-Daten zu Eversense 365: 12.000 Sensoren umfassend
2026-06-08
IAEA integriert künstliche Intelligenz in Strahlentherapie-Datenbank
2026-06-08
Über 20 chinesische Krankenhäuser aktivieren die Cloud-Version des Pathologie-Großmodells RuiPath
2026-06-08
US-ITI warnt: EU-Pläne zur digitalen Souveränität könnten kontraproduktiv sein
2026-06-08
Telefónica übernimmt LineoX für 90 Millionen Euro
2026-06-08
Ciena erzielt im zweiten Quartal Umsatz von 1,57 Milliarden US-Dollar, EBITDA steigt um 324 % im Jahresvergleich
2026-06-08
Athena Global Learning aus den USA gründet in Marquette und setzt mit KI-Bildungskompetenz auf Lern- und Schulungsangebote
2026-06-08
Safaricom führt 6-Dollar-Monatstarif ein: Preiswettbewerb bei Breitband in Kenia eskaliert
2026-06-08
Neueste Nachrichten
1
Cullinan aus den USA wird auf dem EULAR klinische Daten zu CLN-978 vorstellen
2
DBV aus Frankreich nimmt an der Goldman Sachs Healthcare-Konferenz teil
3
MannKind stellt auf der ADA neue pädiatrische Daten zu Afrezza vor
4
US-Forschungsteam entwickelt ultraschallbasiertes, nicht-invasives Herzschrittmacher-Pflaster
5
Umfrage zu KI im US-Gesundheitswesen: 34 % der Patienten würden KI ihre gesamte Krankenakte lesen lassen
6
Auf der Shanghai Senior Care Expo werden KI-Pflegeprodukte der 1000-Yuan-Klasse vorgestellt
7
Chinas „Wasserversorgungsverordnung“ tritt im Juni in Kraft – Einheitliche Regelungen für städtische und ländliche Wasserversorgung
8
Senseonics veröffentlicht auf der ADA Echtwelt-Daten zu Eversense 365: 12.000 Sensoren umfassend
9
IAEA integriert künstliche Intelligenz in Strahlentherapie-Datenbank
10
Phase-III-Studie zu CagriSema von Novo Nordisk erreicht primäre Endpunkte bei Blutzuckersenkung und Gewichtsreduktion