Patch Tuesday im Mai 2026: 118 Microsoft-Lücken – erstmals seit fast zwei Jahren kein Zero-Day

Zusammenfassung

Mehrere große Softwarehersteller veröffentlichen in diesem Monat nahezu rekordverdächtige Mengen an Sicherheitsupdates oder beschleunigen ihren Patch-Rhythmus. Microsoft brachte zum Patch Tuesday wie an jedem zweiten Dienstag des Monats Aktualisierungen heraus, die mindestens 118 Schwachstellen in verschiedenen Windows-Betriebssystemen und weiteren Produkten beheben. Bemerkenswert ist dabei, dass Microsoft zum ersten Mal seit fast zwei Jahren keine Notfall-Korrekturen für bereits ausgenutzte Zero-Day-Lücken ausliefert. Auch wurde keine der heute behobenen Schwachstellen zuvor öffentlich bekannt, was Angreifern andernfalls einen Hinweis auf mögliche Angriffswege geliefert hätte. Sechzehn der Lücken stuft Microsoft mit dem höchsten Schweregrad „kritisch“ ein: Über sie könnten Schadsoftware oder Angreifer die Fernkontrolle über ein verwundbares Windows-Gerät erlangen, ganz ohne oder mit nur geringem Zutun der Nutzer. Der Anbieter Rapid7 trug maßgeblich dazu bei, einige der besonders bedenklichen kritischen Schwachstellen dieses Monats zu identifizieren. Der Mai bringt damit eine Verschnaufpause gegenüber dem April, in dem Microsoft mit 167 behobenen Fehlern eine nahezu rekordverdächtige Zahl erreichte.

Im Hintergrund der hohen Patch-Zahlen steht laut dem Bericht der Einsatz künstlicher Intelligenz beim Aufspüren von Schwachstellen. KI-Plattformen seien zwar womöglich ebenso anfällig für Social Engineering wie Menschen, erwiesen sich aber als bemerkenswert treffsicher darin, Sicherheitslücken in von Menschen geschriebenem Code zu finden. Microsoft zählte zu rund einem Dutzend Technologiekonzernen, die Zugang zu „Project Glasswing“ erhielten – einer von Anthropic entwickelten, stark beworbenen KI-Fähigkeit zum Auffinden von Schwachstellen.

Auch Apple gehörte zu den frühen Teilnehmern von Project Glasswing. Üblicherweise behebt Apple pro Sicherheitsupdate für iOS-Geräte durchschnittlich rund 20 Schwachstellen, wie Chris Goettl, Vice President of Product Management bei Ivanti, erläuterte. Am 11. Mai veröffentlichte Apple iOS 15, das mindestens 52 Schwachstellen schloss und die Änderungen bis zurück zum iPhone 6s und iOS 15 portierte.

Mozilla brachte kürzlich Firefox 150 heraus, das ganze 271 Schwachstellen behob, die Berichten zufolge während der Glasswing-Evaluierung entdeckt wurden. „Seit dem Erscheinen von Firefox 150.0.0 verfolgen sie einen aggressiveren wöchentlichen Takt bei Sicherheitsupdates, einschließlich der Veröffentlichung von Firefox 150.0.3 am Mai-Patch-Tuesday, das jeweils drei bis fünf CVEs pro Version behebt“, so Goettl.

Auch Oracle erhöhte im Zuge seiner Arbeit mit Glasswing das Patch-Tempo. In seinem jüngsten vierteljährlichen Patch-Update behob das Unternehmen mindestens 450 Fehler, darunter mehr als 300 Korrekturen für aus der Ferne ausnutzbare Schwachstellen ohne Authentifizierung. Ende April kündigte Oracle an, für kritische Sicherheitsprobleme auf einen monatlichen Update-Zyklus umzustellen.

Google begann am 8. Mai mit der Auslieferung von Updates für seinen Chrome-Browser, die 127 Sicherheitslücken schlossen – nach lediglich 30 im Vormonat. Chrome lädt verfügbare Sicherheitsupdates automatisch herunter, für die Installation ist jedoch ein vollständiger Neustart des Browsers nötig.

Wer die Updates einspielt, sollte zuvor seine Daten oder das Laufwerk sichern. Eine detailliertere Aufschlüsselung der heute veröffentlichten Microsoft-Updates bietet eine Übersicht des SANS Internet Storm Center.

Patch Tuesday im Mai 2026: 118 Microsoft-Lücken – erstmals seit fast zwei Jahren kein Zero-Day

Ähnliche Artikel

Neueste Artikel