Im Zentrum der Woche steht eine Eigenheit von Microsoft Edge: Wer Passwörter im Browser speichert, dessen Zugangsdaten werden laut dem Sicherheitsforscher Tom Jøran Sønstebyseter Rønning beim Start entschlüsselt und durchgängig im Klartext im Prozessspeicher gehalten – selbst dann, wenn die betreffenden Seiten nie aufgerufen werden. Ein Angreifer mit administrativen Rechten kann über den Windows Task-Manager einen Speicherabzug des „browser"-Unterprozesses erstellen und so die Passwörter auslesen, obwohl Edge für die Anzeige im Passwort-Manager eine erneute Authentifizierung verlangt. Edge ist nach den Tests der einzige Chromium-basierte Browser, der sich so verhält; Microsoft bezeichnet dies als beabsichtigt, um die Anmeldung zu beschleunigen. Vorausgesetzt ist allerdings, dass das Gerät bereits anderweitig kompromittiert wurde. Eine vergleichbare Methode hatte CyberArk bereits 2022 demonstriert.
In Eclipse BaSyx V2 wurden zwei Schwachstellen offengelegt, die industrielle Umgebungen ernsthaft gefährden. CVE-2026-7411 (CVSS 10.0) ist eine nicht authentifizierte Path-Traversal-Lücke, die das Schreiben beliebiger Dateien und damit Codeausführung erlaubt; CVE-2026-7412 (CVSS 8.6) ist eine blinde SSRF-Schwachstelle. Behoben sind beide in Version 2.0.0-milestone-10. Laut Mohamed Lemine Ahmed Jidou, Gründer von AegisSec, lässt sich durch Verkettung die Netzsegmentierung vollständig umgehen, sodass ein kompromittierter Digital-Twin-Server Befehle an isolierte speicherprogrammierbare Steuerungen senden könnte.
Salesforce schloss am 24. Januar 2026 nach verantwortungsvoller Offenlegung durch Searchlight Cyber fünf kritische Lücken in der Marketing Cloud (unter anderem CVE-2026-22585 und CVE-2026-22582), über die sich per Template-Injection die gesamte Kontaktdatenbank hätte abgreifen lassen. Hinweise auf einen Missbrauch gibt es nach Salesforce-Angaben nicht.
Bei den Schadprogrammen meldet ANY.RUN den neuen Infostealer MicroStealer, der seit Dezember 2025 Bildungs- und Telekommunikationssektor angreift und Daten über Discord-Webhooks abzieht. Socket fand fünf bösartige NuGet-Pakete des Kontos bmrxntfj, die verbreitete chinesische .NET-Bibliotheken per Typosquatting nachahmen und rund 65.000-mal heruntergeladen wurden. Daneben verbreiten Malvertising-Kampagnen über Google-Suchanzeigen unter anderem den NWHStealer (Malwarebytes) sowie gefälschte Anmeldeseiten für GoDaddys WordPress-Plattform ManageWP (Guardio).
Übergreifend prägt die beschleunigte Ausnutzung das Geschehen. Laut Reuters erwägen US-Behörden, die Frist für Lücken im KEV-Katalog von drei Wochen auf drei Tage zu kürzen. Eine Flashpoint-Studie beziffert den Rückgang der Zeit zwischen Offenlegung und Ausnutzung auf 94 Prozent in fünf Jahren – von 745 Tagen (2020) auf 44 Tage. Oracle ergänzt seine vierteljährlichen Critical Patch Updates künftig um monatliche Sicherheitsfreigaben. Anthropic-Chef Dario Amodei warnt vor einem Zeitfenster von sechs bis zwölf Monaten, um zehntausende von KI gefundene Schwachstellen zu schließen, bevor chinesische KI aufholt; das Modell Anthropic Mythos fand allein in Mozilla Firefox über 270 Fehler.