Laut Tom Gallagher, Vice President of Engineering bei Microsoft, könnten umfangreiche Updates bald zur Regel werden, weil KI Forschern hilft, mehr Schwachstellen aufzudecken als bisher. „Die Veröffentlichung dieses Monats liegt eher am oberen Ende eines Hotpatch-Monats, und wir erwarten, dass die Releases noch eine Weile tendenziell größer ausfallen", schrieb Gallagher in einem Blogbeitrag. Fortgeschrittene KI-Modelle seien Teil der Entdeckung und beschleunigten sie, weil sie Code-Pfade und Konfigurationen mit einer Geschwindigkeit und Beständigkeit analysieren könnten, die durch manuelle Prüfung allein nicht möglich wäre.
Die beiden Word-Schwachstellen mit dem Vorschaubereich als Angriffsvektor sind CVE-2026-40361 (CVSS 8,4) und CVE-2026-40364 (CVSS 8,4). Die erste ist ein speicherbezogener Fehler, über den ein entfernter Angreifer lokal Code ausführen kann; die zweite ist eine Lücke zur Remote-Codeausführung infolge einer Typverwechslung. Keine der beiden erfordert eine Nutzerinteraktion – das Versenden eines präparierten Dokuments genügt. „Der Lesebereich von Outlook ist seit Langem ein verbreiteter Angriffsvektor; eine einzige eingehende E-Mail kann die Ausnutzung auslösen, ohne dass der Nutzer sie je öffnet", warnte Amol Sarwate, Leiter der Sicherheitsforschung bei Cohesity.
Unter den neun Schwachstellen mit einem Schweregrad von 9,0 oder höher – in jüngeren Patch-Tuesday-Releases eine Seltenheit – erreichen drei den Wert 9,9: CVE-2026-42898, CVE-2026-42823 und CVE-2026-33109. Am dringlichsten ist CVE-2026-42898, eine Schwachstelle zur Remote-Codeausführung in Microsoft Dynamics 365 On-premises. Der Code-Injection-Fehler erlaubt einem authentifizierten entfernten Angreifer, beliebigen Code auszuführen, ohne dass dafür Administrator- oder andere erhöhte Rechte nötig wären. Microsoft selbst stuft die Lücke als eher unwahrscheinlich auszunutzen ein.
Jack Bicer, Director of Vulnerability Research bei Action1, riet dennoch zum sofortigen Patchen. Da keine Nutzerinteraktion erforderlich sei und der Fehler Systeme über den ursprünglichen Sicherheitsbereich hinaus betreffen könne, stelle er ein ernstes Risiko für Unternehmen dar. Ein erfolgreicher Angreifer könne auf Kundendaten, Betriebsabläufe, Finanzinformationen und angebundene Geschäftssysteme zugreifen. Weil CRM-Umgebungen oft mit Identitätsdiensten, Datenbanken und Unternehmensanwendungen verbunden seien, könne eine erfolgreiche Ausnutzung zu einer umfassenderen Kompromittierung und Betriebsstörungen führen.
Die beiden anderen Fehler mit dem Wert 9,9 betreffen Azure. CVE-2026-42823 ist eine Schwachstelle zur Rechteausweitung in Azure Logic Apps; betroffene Organisationen will Microsoft über eine Azure-Service-Health-Benachrichtigung informieren und mit konkreten Hinweisen zur Schadensbegrenzung versorgen. CVE-2026-33109 ist eine Remote-Codeausführung in Azure Managed Instance for Apache Cassandra. Hier müssen Nutzer nichts tun, da Microsoft die Lücke bereits vollständig behoben hat: „Für Nutzer dieses Dienstes ist keine Maßnahme erforderlich. Der Zweck dieser CVE besteht darin, mehr Transparenz zu schaffen", so Microsoft.
Jason Kikta, Sicherheitsforscher bei Automox, hob CVE-2026-41089 hervor, eine Remote-Codeausführung in Windows Netlogon. Ein Angreifer sende eine präparierte Netzwerkanfrage an einen Domänencontroller – ohne Authentifizierung, ohne Nutzerinteraktion. Organisationen sollten auf unerwartete Abstürze oder Neustarts des Netlogon-Dienstes auf ihren Domänencontrollern achten sowie auf auffällige Netlogon-Verkehrsmuster von Quelladressen außerhalb der Domänencontroller, etwa fehlerhafte Anfragen, Authentifizierungsfehler oder Domänenvertrauensfehler.
Insgesamt sieben CVEs betreffen Copilot und Azure AI Foundry, was laut Tyler Reguly, Associate Director of Security R&D bei Fortra, die wachsende Angriffsfläche durch KI-Werkzeuge verdeutlicht. 6 Prozent der CVEs dieses Monats seien KI-basiert. „Sind wir uns aller unserer KI-Nutzungen bewusst?", fragte Reguly und gab zu bedenken, dass diese Zahl künftig nur steigen werde – und welche weiteren KI-Anwendungen in einer Organisation im Einsatz sein könnten, hinter denen kein Anbieter mit einem regelmäßigen Update-Plan wie Microsoft stehe.