Die aktiv ausgenutzte Zero-Day-Lücke trägt die Kennung CVE-2026-32201 und betrifft Microsoft SharePoint Server. Microsoft beschreibt sie als Spoofing-Schwachstelle, die auf einer fehlerhaften Eingabevalidierung in Microsoft Office SharePoint beruht. Dadurch könne ein nicht autorisierter Angreifer über ein Netzwerk eine Täuschung (Spoofing) durchführen.
Laut Microsoft kann ein Angreifer bei erfolgreicher Ausnutzung bestimmte vertrauliche Informationen einsehen (Vertraulichkeit) und offengelegte Informationen verändern (Integrität), den Zugriff auf die Ressource jedoch nicht einschränken (Verfügbarkeit). Wie die Lücke in Angriffen ausgenutzt wurde und wer sie gemeldet hat, teilte das Unternehmen nicht mit.
Die zweite Zero-Day-Lücke wurde öffentlich bekannt gemacht und wird unter CVE-2026-33825 geführt. Es handelt sich um eine Schwachstelle zur Rechteausweitung in Microsoft Defender, über die sich SYSTEM-Rechte erlangen lassen. Microsoft hat den Fehler mit Version 4.18.26050.3011 der Microsoft Defender Antimalware Platform behoben; das Update wird automatisch auf die Systeme heruntergeladen.
Anwender können die Aktualisierung manuell anstoßen, indem sie unter Windows-Sicherheit den Bereich „Viren- & Bedrohungsschutz" und dort die „Schutzupdates" öffnen und auf „Nach Updates suchen" klicken. Microsoft schreibt die Entdeckung der Lücke Zen Dodd sowie Yuanpei XU (HUST) mit Diffract zu.
Darüber hinaus hat Microsoft mehrere Schwachstellen zur Ausführung von Schadcode aus der Ferne in Microsoft Office, konkret in Word und Excel, beseitigt. Diese lassen sich über den Vorschaubereich oder durch das Öffnen manipulierter Dokumente auslösen. Wer häufig Anhänge erhält, sollte das Office-Update daher mit hoher Priorität einspielen.
Insgesamt behebt der Patchday acht als „kritisch" eingestufte Schwachstellen – sieben davon zur Codeausführung aus der Ferne und eine zur Dienstblockade. Microsoft zählt eine Schwachstelle dann als Zero-Day, wenn sie öffentlich bekannt oder bereits aktiv ausgenutzt wird, während noch keine offizielle Korrektur verfügbar ist.
