Der Mai-2026-Patchday umfasst Sicherheitsupdates für insgesamt 120 Schwachstellen. Zero-Day-Lücken hat Microsoft in diesem Monat nicht offengelegt. Dennoch finden sich nach Einschätzung von BleepingComputer mehrere Fehler in den Updates, die IT- und Sicherheitsverantwortliche kennen sollten.
Von den 120 behobenen Schwachstellen gelten 17 als „kritisch". In dieser Gruppe entfallen 14 auf Remotecodeausführung, zwei auf Rechteausweitung und eine auf den unbefugten Zugriff auf Informationen.
Ein Schwerpunkt liegt auf Microsoft Office, Word und Excel: Microsoft hat hier mehrere Schwachstellen geschlossen, die eine Remotecodeausführung ermöglichen. Ausgelöst werden sie durch das Öffnen manipulierter Dateien. Da sich viele davon bereits über das Vorschaufenster ausnutzen lassen, rät BleepingComputer dringend zu einer baldigen Aktualisierung – vor allem in Umgebungen, in denen häufig Dateianhänge eingehen.
Bei der Zählung berücksichtigt BleepingComputer nur die an diesem Tag von Microsoft veröffentlichten Updates. Nicht eingerechnet sind deshalb Schwachstellen in Mariner, Azure, Copilot, Microsoft Teams und dem Microsoft Partner Center, die Microsoft bereits früher in diesem Monat behoben hat. Ebenfalls ausgenommen sind 131 Fehler in Microsoft Edge auf Chromium-Basis, die im selben Monat von Google geschlossen wurden.
Zu den nicht sicherheitsrelevanten Aktualisierungen dieses Tages zählen die kumulativen Updates KB5089549 und KB5087420 für Windows 11 sowie das erweiterte Sicherheitsupdate KB5087544 für Windows 10.