Update 06.05.2026: Das RRZE hat die nutzenden Einrichtungen informiert. FAU: Die neuen Versionen von Creo sind in die automatische Softwareverteilung aufgenommen (WinSV).

PTC, der Hersteller der 3D-CAD/Engineering-Software Creo hat am 23.04.2026 eine kritische Sicherheitslücke bekannt gegeben. Betroffen sind alle Creo-Versionen ab Version 9 und höher. Entsprechend besteht dringender Handlungsbedarf für alle Creo-Installationen, um die Sicherheitslücke möglichst schnell zu schließen sowie Systeme und Daten zu schützen.

Sofortmaßnahmen (umgehend umsetzen)

Creo aktualisieren

Die aktuellen Updates und Patches für Creo 12 müssen sofort eingespielt werden.
RRZE-Kontaktpersonen finden diese auf dem LSD-Server.

Falls nicht sofort gepatcht werden kann, System sofort isolieren.

Google Chrome prüfen und aktualisieren

Der integrierte Browser in Creo muss überprüft werden.
Das Browser-Update muss gemäß den aktuellen Release Updates durchgeführt werden.

Hintergrund zur Sicherheitslücke

Kennung der Sicherheitslücke: CVE-2026-5281

Beschreibung: https://www.cve.org/CVERecord?id=CVE-2026-5281 und https://nvd.nist.gov/vuln/detail/CVE-2026-5281

Die Schwachstelle liegt nicht direkt in Creo, sondern im integrierten Google Chrome-Browser

• Es handelt sich um eine Zero-Day-Sicherheitslücke (bereits aktiv ausgenutzt).
• Betroffen ist die WebGPU-/Dawn-Komponente für Grafikverarbeitung.
• Angreifer können darüber beliebigen Code ausführen (Remote Code Execution).

Warum besteht akuter Handlungsbedarf?

CVE steht für Common Vulnerabilities and Exposures (auf Deutsch etwa: „Allgemein bekannte Schwachstellen und Sicherheitsrisiken“). CVE-Einträge markieren reale, standardisierte Sicherheitslücken in Software. Bei CVE-2026-5281 handelt es sich um eine „Zero-Day-Schwachstelle“ im Google Chrome-Browser. „Zero-Day“ bedeutet: Die Lücke wurde aktiv ausgenutzt, bevor ein Patch veröffentlicht wurde. Betroffen ist konkret die WebGPU-/Dawn-Komponente, die für komplexe Grafikverarbeitung zuständig ist. Angreifer können darüber Abstürze provozieren und beliebigen Code ausführen. Wenn Remote Code Execution (RCE) möglich ist, handelt es sich um eine besonders kritische Schwachstelle.

Ein möglicher Angriff verläuft typischerweise so:

• Eine manipulierte Website wird im Chrome-Browser geöffnet
• Die Sicherheitslücke wird ausgenutzt
• Der Rechner wird kompromittiert
• Angreifer erhalten Zugriff auf: lokale Creo-Dateien, Netzlaufwerke und PLM-Systeme, weitere Systeme im Netzwerk.

Damit ist der gesamte Engineering-Arbeitsplatz gefährdet – einschließlich sensibler Forschungsdaten.

Beschäftigte der FAU finden Hilfe und Beratung zu Softwareproblemen bei der zuständigen RRZE-Kontaktperson bzw. bei der IT-Administration sowie beim Softwareteam. Mitglieder anderer Hochschulen wenden sich an das eigene Rechenzentrum. Angehörige des Universitätsklinikums Erlangen wenden sich an das MIK (Medizinisches Zentrum für Informations- und Kommunikationstechnik).

software@fau.de | software.fau.de