Breen erläutert, dass sich Schwachstellen wie CVE-2026-20805 üblicherweise nutzen lassen, um die Adressraum-Verwürfelung (ASLR) auszuhebeln. „Indem sie offenlegt, wo sich Code im Speicher befindet, kann diese Schwachstelle mit einer separaten Lücke zur Codeausführung verkettet werden und einen komplexen, unzuverlässigen Exploit in einen praktikablen, wiederholbaren Angriff verwandeln", so Breen. Microsoft habe nicht offengelegt, welche weiteren Komponenten an einer solchen Exploit-Kette beteiligt sein könnten, was die Möglichkeiten der Verteidiger zur gezielten Bedrohungssuche stark einschränke. Schnelles Patchen bleibe daher derzeit die einzige wirksame Gegenmaßnahme.
Chris Goettl, Vice President für Produktmanagement bei Ivanti, weist darauf hin, dass CVE-2026-20805 alle aktuell unterstützten Windows-Versionen sowie jene mit erweitertem Support betrifft. Es wäre ein Fehler, die Schwere der Lücke aufgrund der Einstufung „Wichtig" und des vergleichsweise niedrigen CVSS-Werts zu unterschätzen; eine risikobasierte Priorisierung rechtfertige eine höhere Einstufung als die des Herstellers.
Zu den kritischen Lücken zählen zwei Schwachstellen zur Remote-Codeausführung in Microsoft Office (CVE-2026-20952 und CVE-2026-20953), die sich bereits durch das Betrachten einer präparierten Nachricht im Vorschaufenster auslösen lassen.
Laut Adam Barnett von Rapid7 entfernt Microsoft erneut zwei Modemtreiber aus Windows — agrsm64.sys und agrsm.sys —, nachdem bereits im Oktober 2025 ein ähnlicher Treiber gestrichen worden war. Hintergrund ist funktionsfähiger Exploit-Code für eine Schwachstelle zur Rechteausweitung in einem sehr ähnlichen Treiber, geführt als CVE-2023-31096. „Das ist kein Tippfehler; diese Schwachstelle wurde vor über zwei Jahren über MITRE veröffentlicht, zusammen mit einer glaubwürdigen öffentlichen Beschreibung durch den ursprünglichen Forscher", sagt Barnett. Alle drei Treiber stammten vom selben, inzwischen nicht mehr existierenden Drittanbieter und seien seit Jahrzehnten Teil von Windows. Für die meisten Nutzer bleibe die Entfernung unbemerkt, aktive Modems fänden sich aber noch in einigen Kontexten, darunter industrielle Steuerungssysteme.
Barnett betont, dass kein Modem angeschlossen sein müsse: Allein das Vorhandensein des Treibers mache ein System angreifbar. Microsoft behaupte zwar keine Ausnutzung von CVE-2023-31096, doch die Beschreibung aus dem Jahr 2023 und die Entfernung des anderen Agere-Treibers 2025 seien deutliche Signale für jeden, der in der Zwischenzeit nach Windows-Exploits gesucht habe.
Immersive, Ivanti und Rapid7 heben gemeinsam CVE-2026-21265 hervor, eine kritische Schwachstelle zur Umgehung von Sicherheitsfunktionen in Windows Secure Boot. Der Schutz gegen Rootkits und Bootkits stützt sich auf Zertifikate, die im Juni und Oktober 2026 auslaufen. Sobald diese Zertifikate von 2011 abgelaufen sind, erhalten Geräte ohne die neuen 2023er-Zertifikate keine Secure-Boot-Sicherheitsupdates mehr. Microsoft hatte die Ersatzzertifikate 2023 zusammen mit CVE-2023-24932 ausgegeben, das auch die vom BlackLotus-Bootkit ausgenutzte Secure-Boot-Umgehung abdeckte. Barnett warnt, dass beim Aktualisieren von Bootloader und BIOS sorgfältig auf die jeweilige Kombination aus Betriebssystem und BIOS geachtet werden müsse, da falsche Schritte ein nicht mehr startfähiges System zur Folge haben können.
Goettl verweist zudem auf Mozilla, das für Firefox und Firefox ESR insgesamt 34 Schwachstellen behoben hat. Zwei davon stehen im Verdacht, ausgenutzt zu werden (CVE-2026-0891 und CVE-2026-0892); beide sind in Firefox 147 behoben, CVE-2026-0891 zusätzlich in Firefox ESR 140.7. Für diese Woche erwartet Goettl Updates für Google Chrome und Microsoft Edge. Eine detaillierte Aufschlüsselung nach Schweregrad und Dringlichkeit bietet das SANS Internet Storm Center.
