Im Zentrum des Patchdays steht die DNS-Lücke CVE-2026-41096. Laut Microsoft kann ein Angreifer sie ausnutzen, indem er eine speziell präparierte DNS-Antwort an ein verwundbares Windows-System sendet. Der DNS-Client verarbeitet diese Antwort dann fehlerhaft und beschädigt den Speicher. „In bestimmten Konfigurationen könnte dies dem Angreifer erlauben, ohne Authentifizierung aus der Ferne Code auf dem betroffenen System auszuführen", erklärte das Unternehmen.
Daneben behob Microsoft mehrere als kritisch und wichtig eingestufte Schwachstellen. Adam Barnett, leitender Softwareentwickler bei Rapid7, beschrieb CVE-2026-41103 als kritische Lücke zur Rechteausweitung: Ein nicht autorisierter Angreifer könne sich mit gefälschten Anmeldedaten als bestehender Nutzer ausgeben und so Entra ID umgehen.
Jack Bicer, Leiter der Schwachstellenforschung bei Action1, ordnete CVE-2026-42898 ebenfalls als kritisch ein. Ein authentifizierter Angreifer mit niedrigen Rechten könne durch Manipulation von Prozess-Sitzungsdaten in Dynamics CRM beliebigen Code über das Netzwerk ausführen – ohne jede Nutzerinteraktion. „Ein Angreifer mit nur grundlegendem Zugang könnte einen Anwendungsserver in eine Plattform für Remoteausführung verwandeln", so Bicer. Eine Kompromittierung der Dynamics-365-Infrastruktur könne Kundendaten, betriebliche Abläufe, Finanzinformationen und angebundene Geschäftssysteme offenlegen.
Zur Liste gehört außerdem eine von AMD in diesem Monat behobene Schwachstelle (CVE-2025-54518, CVSS 7,3). Sie betrifft eine unzureichende Isolierung gemeinsam genutzter Ressourcen im CPU-Operationscache von Produkten auf Zen-2-Basis und kann zur Rechteausweitung führen. Hinzu kommen 127 von Google in Chromium geschlossene Lücken, das die Grundlage für Microsofts Edge-Browser bildet.
Unabhängig von den CVEs rät Microsoft Organisationen, die Secure-Boot-Zertifikate für Windows auf ihre Fassungen von 2023 zu aktualisieren, bevor die 2011 ausgestellten Zertifikate ablaufen. Rain Baker, Spezialist für Incident Response bei Nightwing, bezeichnete diese verpflichtende Umstellung als wichtigstes Update ohne CVE. Geräte, die die Aktualisierung nicht bis zur Frist am 26. Juni 2026 erhielten, drohten „katastrophale Sicherheitsausfälle auf Boot-Ebene" oder herabgesetzte Sicherheitszustände. Microsoft hatte die Änderung erstmals im November 2025 angekündigt.
Laut Satnam Narang, leitender Forschungsingenieur bei Tenable, hat Microsoft fünf Monate nach Jahresbeginn bereits über 500 CVEs behoben. Das Unternehmen führt dies auch auf KI-gestützte Verfahren zur Schwachstellensuche zurück. In einem am selben Tag veröffentlichten Bericht erklärte Microsoft, 16 der diesmal korrigierten Lücken im Netzwerk- und Authentifizierungs-Stack seien über das neue, mehrmodellige KI-System mit dem Codenamen MDASH (multi-model agentic scanning harness) entdeckt worden.
Tom Gallagher, Vice President of Engineering im Microsoft Security Response Center, betonte, in dieser Ausgabe sei ein größerer Anteil der Probleme von Microsoft selbst gefunden worden als in den Vormonaten. Er riet Organisationen, ihre Patch-Geschwindigkeit zu überprüfen und „nach Exposition und Auswirkung zu priorisieren, nicht nach reiner Anzahl". Microsoft empfahl zudem, unnötige Internet-Exposition zu reduzieren, veraltete Authentifizierung zu entfernen, Multi-Faktor-Authentifizierung zu aktivieren und Umgebungen zu segmentieren.