Microsoft schließt 137 Sicherheitslücken am Patchday

Zusammenfassung

Microsoft hat an seinem jüngsten Patchday die Behebung von 137 Schwachstellen in seinen Produkten bekannt gegeben. Nach Angaben des Unternehmens wird keine davon bislang aktiv ausgenutzt. Rund ein Dutzend der Lücken stuft Microsoft jedoch mit der Bewertung „Ausnutzung wahrscheinlicher" ein, was darauf hindeutet, dass Angreifer sie in absehbarer Zeit für Attacken missbrauchen könnten. Die schwerwiegendste dieser Schwachstellen ist CVE-2026-41103, eine als kritisch eingestufte Lücke im Microsoft SSO Plugin für Jira & Confluence, die zu einer Rechteausweitung führen kann. Ursache ist eine fehlerhafte Umsetzung des Authentifizierungsalgorithmus. Daneben behebt Microsoft kritische Fehler in Dynamics 365, Azure Logic Apps, Windows DNS, Windows Netlogon, Windows Hyper-V und dem Azure SDK sowie zwei besonders beachtenswerte Schwachstellen zur Remotecodeausführung in Microsoft Word. Parallel veröffentlichte Adobe Updates für 52 Schwachstellen in zehn Produkten, darunter mehrere kritische Lücken zur Codeausführung.

Mit den aktuellen Updates des Patchdays adressiert Microsoft insgesamt 137 Schwachstellen. Rund ein Dutzend davon trägt die Bewertung „Ausnutzung wahrscheinlicher", was nach Einschätzung des Unternehmens auf ein erhöhtes Angriffsrisiko hindeutet. Aktive Angriffe sind nach Microsofts Angaben bislang nicht bekannt.

Als gravierendste Lücke nennt Microsoft CVE-2026-41103 im SSO-Plugin für Jira & Confluence. Die kritische Schwachstelle ermöglicht eine Rechteausweitung und geht auf eine fehlerhafte Implementierung des Authentifizierungsalgorithmus zurück.

Anfällig für eine Ausnutzung sind laut Microsoft auch mehrere als hoch eingestufte Schwachstellen zur Rechteausweitung – unter anderem in Windows Remote Desktop, dem Common Log File System Driver, dem Windows-Kernel, Azure AI Foundry, Win32k, dem Ancillary Function Driver für WinSock, im TCP/IP-Stack sowie im Cloud Files Mini Filter Driver.

Besondere Aufmerksamkeit richtet das Unternehmen auf zwei hochgefährliche Lücken zur Remotecodeausführung in Microsoft Word: CVE-2026-40364 und CVE-2026-40361, beide mit einem CVSS-Wert von 8.4. Bei der ersten handelt es sich um eine Type-Confusion-Schwachstelle, bei der zweiten um einen Use-after-free-Fehler.

„Diese Schwachstellen könnten von einem Angreifer ausgenutzt werden, der ein präpariertes Dokument an ein Ziel schickt", erklärte Satnam Narang, Senior Staff Research Engineer bei Tenable. Entscheidend sei, dass das Opfer das Dokument dafür nicht einmal öffnen müsse: „Die Ausnutzung ist bereits möglich, wenn ein schädliches Dokument im Vorschaufenster angezeigt wird. Das Einspielen der Patches ist daher der zuverlässigste Schutz gegen solche Lücken."

Zwei weitere hochgefährliche Word-Schwachstellen wurden in diesem Monat ebenfalls behoben, gelten Microsoft zufolge aber als weniger oder unwahrscheinlich ausnutzbar. In der Office-Suite schloss das Unternehmen insgesamt mehr als zwei Dutzend Lücken.

Darüber hinaus stellte Microsoft Korrekturen für kritische Fehler in Dynamics 365 (On-Premises), Azure Logic Apps, Windows DNS, Windows Netlogon, Windows Hyper-V und dem Azure SDK bereit. Hinzu kommen als hoch eingestufte Schwachstellen in Copilot, .NET, diversen Azure-Diensten, Kernel- und Kernelmodustreibern, Win32k, LDAP, SQL Server, Edge, Visual Studio Code sowie weiteren Windows-Komponenten.

Ebenfalls am selben Tag veröffentlichte Adobe Patches für 52 Schwachstellen in zehn Produkten, darunter mehrere kritische Lücken zur Codeausführung.

Microsoft schließt 137 Sicherheitslücken am Patchday

Ähnliche Artikel

Neueste Artikel