SchwachstellenDatenschutz

Microsoft Patch Tuesday Mai 2026: 120 Sicherheitslücken geschlossen, keine Zero-Days

Von CyberDeutsch Redaktion
Microsoft Patch Tuesday Mai 2026: 120 Sicherheitslücken geschlossen, keine Zero-Days
Zusammenfassung

Microsofts Mai-Patch-Tuesday bringt 120 Sicherheitsupdates, darunter 17 als „kritisch" eingestufte Schwachstellen – allerdings ohne bekannte Zero-Day-Exploits. Die Updates adressieren insbesondere Remote-Code-Execution-Lücken in Microsoft Office, Word und Excel, die durch das Öffnen manipulierter Dateien ausgelöst werden können. Besonders problematisch ist, dass viele dieser Anfälligkeiten über die Vorschaufunktion in E-Mail-Clients ausnutzbar sind, weshalb eine zeitnahe Aktualisierung dringend empfohlen wird. Für deutsche Nutzer und Unternehmen stellt dies eine erhebliche Bedrohung dar, da Office-Produkte im beruflichen Umfeld weit verbreitet sind und täglich mit Dateien aus externen Quellen hantiert werden. IT-Administratoren in deutschen Behörden und Firmen sollten die Updates zeitnah einspielen, um das Risiko von Cyberangriffen zu minimieren. Besonders Organisationen, deren Mitarbeiter regelmäßig E-Mail-Anhänge von unbekannten Absendern erhalten, sind gefährdet. Microsoft hat zudem zahlreiche weitere Schwachstellen in verschiedenen Systemkomponenten behoben, die das Gesamtrisiko erhöhen könnten.

Das Mai 2026 Patch Tuesday von Microsoft behebt insgesamt 120 Schwachstellen in verschiedenen Produkten und Services. Die Verteilung zeigt ein differenziertes Bild der Bedrohungslage: 17 Lücken erhalten die höchste Kritikalitätsstufe, wovon 14 zu Remote Code Execution führen können, zwei zur Erhöhung von Berechtigungen und eine zu Informationspreisgabe.

Besonders im Fokus der Sicherheitscommunity stehen die behobenen Schwachstellen in Microsoft Office, Word und Excel. Diese ermöglichen Angreifern, durch das Öffnen böswilliger Dateien Code auszuführen – und gefährlich ist dabei: Viele dieser Lücken können bereits über die Vorschau-Funktion ausgenutzt werden, ohne dass die Datei vollständig geöffnet werden muss. Das BSI warnt deutsche Unternehmen eindringlich vor dieser Gefahr und empfiehlt sofortige Updates, insbesondere für Organisationen, deren Mitarbeiter regelmäßig Dateien von externen Absenderinnnen erhalten.

Die Update-Pakete verteilen sich auf mehrere Windows-Versionen: Windows 11 erhielt die kumulativen Updates KB5089549 und KB5087420, Windows 10 bekam das Extended Security Update KB5087544. Damit stellt Microsoft sicher, dass auch Unternehmen, die noch auf älteren Windows 10-Systemen laufen, Schutz erhalten – eine wichtige Berücksichtigung für die noch breite Windows 10-Verbreitung in deutschen Firmen.

Erwähnenswert ist auch, dass Microsoft in diesem Patch Tuesday bewusst keine Zero-Days offengelegt hat. Dies unterscheidet sich vom April 2026, als noch zwei Zero-Days geschlossen wurden. Allerdings hatten bereits früher im Mai behobene Lücken in Microsoft Azure, Copilot, Microsoft Teams und dem Partner Center für erhöhte Aufmerksamkeit gesorgt – diese sind in der Gesamtzahl von 120 nicht mitgerechnet.

Für deutsche IT-Administratoren und Sicherheitsverantwortliche gilt: Die Updates sollten nach einer kurzen Testphase in Produktivumgebungen eingespielt werden. Eine Vernachlässigung kann nicht nur zu Sicherheitsrisiken führen, sondern möglicherweise auch zu Bußgeldern gemäß DSGVO, falls Datenschutzverstöße durch ungepatched Systeme entstehen. Das BSI bietet auf seiner Website zusätzliche Handlungsempfehlungen zur sicheren Update-Verwaltung.

Ähnliche Artikel