Zurück zu allen Beiträgen
Veröffentlicht am · von Renaud Deraison

Warum Browser-Zero-Days nicht verschwinden – und was Bromure dagegen tut

Apple und Google geben inzwischen jedes Jahr zweistellige Millionenbeträge aus, um Browser-Fehler zu finden und zu beheben. Trotzdem werden jedes Jahr acht bis zehn Browser-Zero-Days aktiv ausgenutzt. Dieser Beitrag zeigt, warum sich an dieser Rechnung nichts ändert, wie Claude Mythos und die „Vulnpocalypse” alles noch schlimmer machen – und warum ein Browser, der von einer Kompromittierung ausgeht, eine andere Art von Produkt ist.

Man kauft sich nicht aus einem Problem heraus, das 35 Millionen Zeilen Code umfasst. Der Browser ist nicht sicher, weil er sorgfältig geschrieben wurde; er ist das mit Abstand größte Stück ungeprüften Content-Parsers, das auf Ihrem Computer läuft. Das einzig Skalierbare ist, um diese Annahme herum zu entwerfen.

Im Ruhezustand wirkt ein Browser wie ein üppig finanziertes Entwicklungswunder. Google und Apple beschäftigen jeweils Hunderte von Menschen, deren Vollzeitjob es ist, Chrome und Safari weniger angreifbar zu machen. Beide Unternehmen liefern Patches über Continuous-Integration-Pipelines aus, die in Minuten messen. Beide betreiben Bug-Bounty-Programme mit sechs- und siebenstelligen Auszahlungen. Beide veröffentlichen Post-Mortems. Beide verfügen über erstklassige Fuzzing-Infrastruktur. Und doch erfahren Nutzerinnen und Nutzer der am meisten gepatchten, am besten gehärteten und am gründlichsten auditierten Consumer-Software des Planeten mit beinahe perfekter Regelmäßigkeit jedes Jahr, dass eine Seite, die sie vor drei Tagen geöffnet haben, ihren Rechner stillschweigend übernommen hat.

In diesem Beitrag geht es darum, warum das so ist. Und darum, warum diese Rechnung gleich noch viel schlechter wird – und was aus unserer Sicht der einzige Ausweg ist.

Das Bounty-Geld ist echt. Die Bugs auch.

Apple und Google zahlen inzwischen Rekordsummen für Browser-Fehler.

Googles Vulnerability Reward Program hat 2024 12 Millionen Dollar über alle Produkte hinweg ausgezahlt, davon allein 3,4 Millionen Dollar an 137 Forscherinnen und Forscher für Chrome. 2025 hat das noch einmal übertroffen: Das VRP zahlte 17,1 Millionen Dollar an 747 Forscherinnen und Forscher – ein Sprung von 45 % gegenüber dem Vorjahr und das größte Bounty-Jahr in Googles Geschichte. Ein einzelner Chrome-Sandbox-Escape (ein Mojo-Bug) brachte einem Forscher 250 000 Dollar ein.

Apple bewegt sich in derselben Größenordnung. Die Security-Bounty-Seite des Unternehmens listet inzwischen eine Höchstauszahlung von 2 Millionen Dollar für die schwersten Exploit-Ketten (zuvor 1 Million Dollar), mit zusätzlichen Multiplikatoren bis zu 5 Millionen Dollar; die kumulativen Bounty-Zahlungen seit Öffnung des Programms für die Öffentlichkeit haben 35 Millionen Dollar überschritten.

Das sind große Zahlen. Es sind die richtigen Zahlen; beide Unternehmen gehen damit transparent um. Aber hier ist das Unangenehme daran, 17 Millionen Dollar für das Finden von Fehlern auszugeben: Was Sie in Wirklichkeit tun, ist, Belege dafür zu kaufen, dass es noch mehr Fehler gibt.

Die Belege, Jahr für Jahr.

Durchschnittliche monatliche Chrome-CVEsalle Schweregrade · Quelle: stack.watch-Aggregation von NVD-Daten70605040302010028/Mon.24/Mon.21/Mon.~63/Mon.8 aktivausgenutzte Zero-Daysbis zu 10Zero-Days8 aktivausgenutzte Zero-Days4 Zero-Days(nach 3 Monaten)2023202420252026 lfd.Google zahlte $12 Mio. über das VRPGoogle zahlte $17,1 Mio. über das VRP (Rekord)Claude Mythos startet(Anthropic · 7. Apr. 2026)
Durchschnittliche Zahl monatlicher Chrome-CVEs, 2023 bis Mitte April 2026. Jeder Punkt in diesem Diagramm ist ein Chrome-CVE, den entweder Googles eigene Ingenieure, die Bounty-Forscherinnen und -Forscher oder Dritte gemeldet haben und für den Google einen Patch ausgeliefert hat. Die In-the-Wild-Zero-Days – jene, die bereits ausgenutzt wurden, bevor Google überhaupt von ihrer Existenz wusste – sind über jedem Jahr beschriftet.

In diesem Diagramm passieren mehrere Dinge gleichzeitig, und jedes davon ist schlimmer als das vorhergehende.

Die Linie von 2023 bis 2025 sieht nach Fortschritt aus. Weniger Chrome-CVEs pro Monat, Jahr für Jahr, und das in demselben Zeitraum, in dem Googles Bounty-Ausgaben um die Hälfte stiegen. Aktiv ausgenutzte Zero-Days – die einzige Kategorie, die für Nutzerinnen und Nutzer wirklich zählt – blieben mit etwa acht pro Jahr allein für Chrome einigermaßen konstant – plus einige wenige pro Jahr für Safari und WebKit, darunter CVE-2023-42916 / 42917 (beide von Apple Ende 2023 als „aktiv ausgenutzt” markiert), CVE-2024-23222 (Apples erster Zero-Day des Jahres 2024) und CVE-2025-24201 (ausgenutzt in „extrem ausgeklügelten Angriffen”).

Die Interpretation war verlockend: Es funktionierte, nur eben langsam.

Und dann kam 2026. Allein die ersten drei Monate dieses Jahres haben rund 200 Chrome-CVEs hervorgebracht – eine Rate, die, sollte sie anhalten, jedes bisherige Rekordjahr sprengen wird. Die Zahl der aktiv ausgenutzten Zero-Days steht bereits bei vier, und es sind noch mehr als acht Monate übrig. Irgendetwas hat sich verändert.

Das Etwas, das sich verändert hat, hat einen Namen.

Am 7. April 2026 hat Anthropic ein Preview eines Frontier-Modells angekündigt, das intern unter dem Codenamen „Copybara” läuft und als Claude Mythos vermarktet wird, optimiert für eine einzige Aufgabe: Sicherheitslücken autonom zu finden und auszunutzen. Der öffentliche Red-Team-Bericht beschreibt ein Modell, das:

  • in 72,4 % der Fälle auf internen Benchmarks einen funktionierenden Zero-Day-Exploit erzeugte, gegenüber weniger als 1 % bei der Vorgängergeneration Opus 4.6.
  • vier separate Schwachstellen zu einem einzigen JIT-Heap-Spray verkettete, der sowohl den Renderer als auch die OS-Sandbox eines großen Browsers verließ.
  • im Rahmen einer Evaluation „Tausende” von Zero-Days mit hoher und kritischer Schwere in jedem großen Betriebssystem und jedem großen Webbrowser fand.

Anthropic veröffentlicht Mythos, und das ist zu seiner Ehre zu sagen, nicht öffentlich. Die Fähigkeit wird stattdessen über ein kontrolliertes Programm namens Project Glasswing verteilt, an dem Apple, Google, Microsoft, AWS, Cisco, CrowdStrike, NVIDIA, Palo Alto Networks, JPMorgan Chase, Broadcom und die Linux Foundation beteiligt sind. Diese Organisationen haben jetzt einen direkten Draht zu einem Modell, das Zero-Days in einem Tempo findet, das sich nicht in Monaten, sondern in Stunden bemisst.

Das ist, relativ gesehen, die gute Nachricht. Die schlechte Nachricht ist, dass Mythos eine Ankündigung ist, keine Erfindung. Wenn ein Frontier-Labor diese Fähigkeit innerhalb eines begrenzten Pilotprojekts erreicht hat, wird irgendjemand anderes – eine feindselige Regierung, ein kommerzieller Spyware-Anbieter, eine gut finanzierte Kriminalitätsgruppe – innerhalb weniger Quartale etwas Vergleichbares haben. Das ist das umfassendere Phänomen, das die erste Presseberichterstattung bereits die Vulnpocalypse nennt.

Die Vulnpocalypse ist keine Rhetorik. Sie ist eine messbare Veränderung des Zeitfensters.

Der Begriff ist vor allem in NBC News' Bericht vom 9. April über Mythos und im Beitrag der Cloud Security Alliance „Mythos and the Vulnpocalypse” verwendet worden. Es ist keine Marketing-Übung. Er beschreibt eine konkrete, quantifizierbare Veränderung: die mittlere Zeitspanne zwischen der öffentlichen Offenlegung einer Schwachstelle und ihrer aktiven Ausnutzung ist von rund 2,3 Jahren im Jahr 2019 auf unter 24 Stunden im Jahr 2026 gefallen. Als AISLE, ein Unternehmen für KI-gestützte Vulnerability-Forschung, am Tag der Veröffentlichung OpenSSLs Advisory vom Januar 2026 erhielt, hat es innerhalb weniger Stunden unabhängig alle zwölf gepatchten Zero-Days wiederentdeckt.

201920212023202420262,3 J.bis zum Exploit~1 J.bis zum Exploit~3 Mon.bis zum Exploit5 T.<1 T.Jeder Kreis zeigt, wie viel Zeit ein Verteidiger nach Bekanntwerden eines Bugs hatte, bevor dieser real ausgenutzt wurde.
Das schrumpfende Zeitfenster zwischen „ein Bug wird offengelegt” und „der Bug ist in freier Wildbahn”. Ein Patch-Zyklus, der 2019 in Jahren gemessen wurde, wird heute in Stunden gemessen. Wenn Ihr Sicherheitsplan darauf beruht, schneller zu sein als der Angreifer, dann ist der Angreifer unbemerkt zu einem übermenschlichen Fuzzer geworden.

Das ist nicht hypothetisch. Die NVD, die maßgebliche Schwachstellendatenbank der US-Regierung, räumt seit über einem Jahr leise ein, dass sie nicht mehr hinterherkommt: Anfang 2026 ist der Rückstau nicht angereicherter CVEs mit funktionierenden Proof-of-Concept-Exploits die dominierende Geschichte ihrer Arbeit. Neue CVE-Einreichungen sind seit 2020 um über 260 % gestiegen, während die Zahl der Analystinnen und Analysten gleich geblieben ist, und NISTs öffentliche Kommunikation ist von „wir werden aufholen” zu „wir werden die risikoreichsten zuerst bearbeiten” übergegangen.

Wenn Sie darauf warten, dass der Hersteller patcht, dass der Patch ausgeliefert wird, dass Ihr Gerät das Update übernimmt und dass Sie Ihren Browser neu starten – dann ist das 2026 ein Sicherheitsplan, dem ein 24-Stunden-Fenster bleibt, um abgeschlossen zu sein. Im Mittel.

Warum dieses Problem architektonischer, nicht finanzieller Natur ist.

Der Grund, warum Google und Apple das nicht mit mehr Geld lösen können, ist einfach und sollte deutlich gesagt werden: der Browser ist der größte Parser ungeprüften Inhalts, der auf Ihrem Computer läuft, und es gibt keinen sicheren Parser für so viele angreiferkontrollierte Daten.

Moderner Browser~35 Millionen Zeilen C++ · 200+ eingebundene DrittbibliothekenHTML + CSSBlink-Parser, Layout,Style-EngineJavaScript + WASMV8, JIT, GCein Compiler in Ihrem TabWebGL / WebGPUANGLE, Dawn,GPU-TreiberaufrufeSkia + Font-Shaping2D-Grafik, ICU,HarfBuzzBild-CodecsWebP, AVIF, JPEG,PNG, GIF …Video-CodecsVP8/VP9, AV1,H.264, H.265Audio-CodecsOpus, Vorbis,AAC, MP3PDFeigener Renderer,Formulare, JS-EngineNetzwerkstackTCP, QUIC, HTTP/2,HTTP/3, WebSocketTLS-StackBoringSSL,Zertifikat-ParsingWebRTCSTUN/TURN, SCTP,SRTP, Peer-DatenIPC + Mojodas Schlupflochder SandboxJede Box ist ein Parser. Jeder Parser ist 2026 ein Fuzzing-Ziel, das Claude Mythos in Stunden durchlaufen kann.
Was der Browser bei jedem Seitenaufruf tatsächlich sicher zu parsen hat. Jedes der Felder unten ist selbst ein Projekt mit mehreren hunderttausend Zeilen Code, jedes davon in den Browser eingebunden, jedes davon aus Sicht einer bösartigen Seite eine Angriffsfläche.

Chromium umfasst rund 35 Millionen Zeilen C++, dazu ein enormes //third_party-Verzeichnis, das über 200 externe Bibliotheken einbindet – den WebP-Decoder (CVE-2023-4863, bekanntermaßen beim BLASTPASS-Vorfall mit NSOs Pegasus verkettet), den VP8/VP9-Decoder, libxml2, ICU, Skia, ANGLE, Dawn, BoringSSL. Jede einzelne dieser Bibliotheken ist ein Parser, der mit Eingaben arbeitet, die von demjenigen kontrolliert werden, dem die geöffnete Seite gehört. Jeder Fehler in einer von ihnen ist ein Fehler im Browser.

Safari und WebKit sind kleiner – der Kern umfasst etwa 2,5 Millionen Zeilen C++, laut einem Audit von Igalia – aber die Form der Angriffsfläche ist identisch: ein monumentaler Stapel von C- und C++-Parsern, die feindselige Eingaben verarbeiten, wobei jedes dekodierte Byte im selben Adressraum wie Ihr Browser-Profil läuft.

Man kann nicht so viel C++, das so viele ungeprüfte Eingaben verarbeitet, schreiben, ohne Fehler zu machen. Und man kann sich nicht aus Fehlern herauskaufen, wenn die Angreiferseite des Marktes jetzt Zugriff auf einen Fuzzer hat, der Exploits in Stunden erzeugt. Die Geschwindigkeit, mit der die Verteidigung Fehler finden und beheben kann, und die Geschwindigkeit, mit der der Angreifer neue Fehler finden und waffenfähig machen kann, divergieren seit April 2026 mathematisch.

Was aktuelle Zero-Days tatsächlich angerichtet haben.

Schon vor der Mythos-Ankündigung waren die folgenreichsten Browser-Zero-Days der letzten drei Jahre ernüchternd. Eine kurze Auswahl:

BLASTPASS / libwebp, 2023

CVE-2023-4863 war ein Heap-Overflow im WebP-Bilddecoder, der sowohl von Chrome als auch von Safari verwendet wird. Der Exploit, eingesetzt durch die Pegasus-Spyware der NSO Group, benötigte keinerlei Interaktion: Der Aufruf des falschen Bildes genügte. Er bleibt eine der klarsten realen Demonstrationen dafür, wie ein Parser eines Drittanbieters den gesamten Browser kompromittieren kann.

Operation ForumTroll, 2025

CVE-2025-2783, entdeckt von Kaspersky GReAT, war ein Mojo-Sandbox-Escape in Chrome. Er wurde mit einer Renderer-Kompromittierung verkettet, um die kommerzielle Spyware von Memento Labs an russische und belarussische Ziele auszuliefern. Google hat ihn innerhalb weniger Tage nach der Offenlegung behoben. Die Angreifer hatten ihn mindestens monatelang verwendet.

Nordkoreanische V8-Ausnutzung, 2024

CVE-2024-7971 war eine V8-Typverwechslung, die von Akteuren mit nordkoreanischer Anbindung genutzt wurde, um ein Toolkit zum Diebstahl von Kryptowährungen auszurollen. Im selben Jahr gab es mehrere weitere V8-Bugs, die mit kommerziellen Spyware-Anbietern in Verbindung standen. Die Gemeinsamkeit: Jeder einzelne brauchte nur eine einzige Webseite.

Safari, Ende 2025

CVE-2025-24201 wurde in dem ausgenutzt, was Apple als „extrem ausgeklügelte Angriffe” auf bestimmte Personen beschrieb. Ein weiteres Paar im Dezember (CVE-2025-43529, CVE-2025-14174) nutzte WebKit und ANGLE aus und wurde als in gezielten Angriffen aktiv ausgenutzt markiert. WebKit teilt eine Code-Genealogie mit Chromiums ANGLE; ein Fehler im einen wird manchmal in beiden gepatcht.

Diese Bugs wurden nicht gefunden, weil die Entwicklerinnen und Entwickler schlampig waren. Sie wurden gefunden, weil moderne Gegner dafür bezahlt werden, sie zu finden, und weil es immer mehr gibt. Was Mythos tut, ist, das Verhältnis von „Forscherinnen und Forschern, die einen Bug finden können” zu „Menschen, die sich Forscherinnen und Forscher leisten können, die einen Bug finden können” zu verändern. Anthropic hat sein Werkzeug vorerst beschränkt. Es wird andere geben.

Das architektonische Argument.

Alles oben sollte auf eine Schlussfolgerung hindeuten: die richtige Designannahme ist, dass Ihr Browser gerade jetzt einen Zero-Day in sich trägt, von dem Sie nichts wissen, der dieses Jahr gegen irgendjemanden eingesetzt werden wird und möglicherweise auch gegen Sie.

Angesichts dieser Annahme lautet die einzig relevante Frage: Was passiert nach dem Auslösen des Bugs?

In einem klassischen Browser ist die Antwort brutal. Der Browser läuft innerhalb Ihres Benutzerkontos. Sein Renderer hat Zugriff auf Ihre Dateien, Ihren Schlüsselbund, Ihre Cookies, Ihre Webcam, Ihr Mikrofon und Ihr lokales Netzwerk – weil das die Dinge sind, auf die das Benutzerkonto Zugriff hat, und der Browser ein Programm ist, das als dieser Benutzer läuft. Eine Renderer-Kompromittierung, die die Sandbox des Browsers umgeht – genau das, was Mythos während seiner Evaluation auf einem großen Browser demonstriert hat – ist eine Kompromittierung Ihres Computers. Punkt.

Das ist das Ergebnis, das der Rest der Branche implizit akzeptiert und leise miteinplant – mit Schichten aus EDR, Endpoint-Detection, MDM, Telemetrie, Incident Response und, für die besonders Unglücklichen, auf Vorrat gehaltenen Ransomware-Verhandlungsanwälten.

Bromure macht etwas anderes.

Bromure versucht nicht, Mythos davonzulaufen. Dieses Rennen ist nicht zu gewinnen. Was Bromure tut, ist, zu verändern, was ein Zero-Day tatsächlich erreicht.

Zero-Day in einem klassischen BrowserIHR COMPUTER · IHR BENUTZERBrowser-Tab (kompromittiert)Mojo-Sandbox-Escape wird ausgelöstLOADERDateienVERSCHLÜSSELTSchlüsselbundEXFILTRIERTWebcamLIVENetzwerkBREITET SICH AUSBackupsVERSCHLÜSSELTDer Computer ist verloren.Zero-Day in BromureIHR COMPUTER · IHR BENUTZERVERWERFBARE VMBrowser-Tab (kompromittiert)Derselbe Exploit wird ausgelöstLOADEREINGEDÄMMTDateiensicherSchlüsselbundsicherWebcamsicherNetzwerksicherBackupssicher
Ein Browser-Zero-Day in einem klassischen Browser läuft innerhalb Ihres Benutzerkontos. Derselbe Zero-Day läuft in Bromure innerhalb einer verwerfbaren virtuellen Maschine, in der weder Ihre Dateien noch Ihr Schlüsselbund noch irgendetwas anderes steckt, das Ihnen wichtig ist. Das schlimmstmögliche Ergebnis ist der Verlust der Browser-Sitzung, die Sie ohnehin schon geschlossen haben.

In Bromure läuft der Browser innerhalb einer versiegelten Gast-VM. Wenn eine Renderer-Kompromittierung auslöst – derselbe Mojo-Sandbox-Escape, der in der Operation ForumTroll eingesetzt wurde, dieselbe verkettete V8-Typverwechslung, die Mythos in internen Tests erzeugt hat –, hat der Angreifer jetzt Codeausführung innerhalb einer verwerfbaren Linux-VM. Diese VM enthält nicht Ihre Dateien. Sie enthält nicht Ihren Schlüsselbund. Sie enthält nicht Ihre Webcam, nicht Ihr Mikrofon und nicht Ihr lokales Netzwerk. Sie enthält einen Browser, ein Profil und den Zustand, den dieses Profil angesammelt hat.

Wenn die Sitzung endet und Sie das Fenster schließen, wird die VM zerstört. Der Exploit wird mit ihr zerstört. Persistenz – der wertvollste Zug, den ein Angreifer nach dem initialen Zugriff macht – lässt sich in etwas, das gleich aufhört zu existieren, nicht etablieren.

Was wir nicht behaupten.

Die Architektur von Bromure ist keine Wunderwaffe. Zwei Einschränkungen sind zu nennen:

Der Exploit kompromittiert dennoch die Browser-Sitzung

Passwörter, die in dieser Sitzung eingegeben wurden, Cookies, die in diesem Profil gespeichert sind, Daten, die während des Exploit-Fensters in Formulare eingegeben wurden – all das lebt in der VM und ist durch eine Kompromittierung dieser VM erreichbar. Isolation hält den Schaden auf die Sitzung begrenzt; sie schützt rückwirkend keine Eingaben, die der Sitzung bereits übergeben wurden. Trennung pro Profil und verwerfbare Sitzungen reduzieren den Wert dieses Wirkungsradius; sie machen ihn nicht null.

Ein VM-Escape bleibt im Spiel

Eine ausreichend schwere Kette könnte theoretisch die VM selbst verlassen. Das ist ein deutlich schwierigeres Problem als das Verlassen einer Browser-Sandbox – mehrere Größenordnungen weniger Bugs, und die Angriffsoberfläche des Hypervisors ist konstruktiv schmaler als die eines Browsers –, aber es ist nicht null. Bromure reduziert die Wahrscheinlichkeit, dass ein Browser-Zero-Day in eine Kompromittierung des Hosts übersetzt wird; es eliminiert sie nicht.

Die nützliche Zahl ist nicht „null Risiko”. Die nützliche Zahl ist, „wie viele Zero-Days pro Jahr am Ende tatsächlich Ihren tatsächlichen Computer kompromittieren”. Bei einem klassischen Browser ist diese Zahl gestiegen, und sie wird gleich schneller steigen. Bei Bromure wird sie von einer separaten Klasse von Bugs begrenzt, die ungefähr hundertmal teurer zu finden ist.

Planen Sie für die Welt, in der Sie gleich leben werden.

Browser-Zero-Days sind kein Fehler im Ökosystem. Sie sind ein strukturelles Merkmal davon, Dutzende Millionen Zeilen C++ in den Weg feindseliger Bytes zu stellen, für das es keinen glaubwürdigen Engineering-Fix gibt und für das die wirtschaftliche Abschreckung (Sie sind zu teuer, um angegriffen zu werden) gleich wegautomatisiert wird. Apple und Google lassen nicht die Zügel schleifen. Das Problem ist schlicht größer als ihre Budgets.

Was wir tun können und was Bromure tut, ist, den Wirkungsradius zu verschieben. Isolieren Sie den Browser. Machen Sie jede Sitzung verwerfbar. Setzen Sie das Host-Betriebssystem bei jeder Seite eine Mauer weiter nach hinten. Das ist eine andere Produktform, und es ist die einzige, die wir gefunden haben, die noch Sinn ergibt, wenn der Gegner eine ständig aktive KI-Exploit-Fabrik mit einer dreistelligen API-Rechnung ist.

Installieren Sie Bromure. Machen Sie es zu Ihrem Standard für alles, dem Sie nicht vollständig vertrauen. Und wenn die nächste Schlagzeile lautet „Aktiv ausgenutzter Zero-Day in Chrome per Notfall-Release gepatcht” – und sie wird so lauten, innerhalb von Wochen –, lesen Sie weiter, denn dieses Ergebnis muss nicht Ihres sein.