Microsoft schließt 206 Sicherheitslücken, darunter drei öffentlich bekannte Zero-Days

Zusammenfassung

Microsoft hat in seinem aktuellen Patch-Bündel 206 Sicherheitslücken in seinem Software-Portfolio geschlossen und damit nach eigenen Angaben eine Rekordzahl erreicht. Darunter sind drei Schwachstellen, die zum Zeitpunkt der Veröffentlichung bereits öffentlich bekannt waren. Von den 206 Lücken stuft das Unternehmen 39 als kritisch und 167 als wichtig ein. Die Verteilung reicht von 63 Privilegienerweiterungen und 56 Schwachstellen für Remotecodeausführung über 30 Informationsabflüsse und 27 Spoofing-Probleme bis hin zu 20 Umgehungen von Sicherheitsfunktionen, sieben Denial-of-Service-Lücken und drei Manipulationsschwachstellen. Zusätzlich umfasst das Update zwei nicht von Microsoft stammende CVEs sowie mehr als 350 Sicherheitslücken, die Google in Chromium behoben hat, der auch in Microsofts Edge-Browser steckt. Im Mittelpunkt stehen mehrere besonders folgenschwere Fehler im Windows-Kernel, in BitLocker und in IIS, während Sicherheitsforscher den stark wachsenden Patch-Umfang mit KI-gestützter Schwachstellenforschung in Verbindung bringen.

Die schwerwiegendste der nun geschlossenen Lücken ist CVE-2026-45657 mit einem CVSS-Wert von 9,8. Es handelt sich um einen Use-after-free-Fehler im Windows Kernel, der Remotecodeausführung ermöglichen kann. Microsoft zufolge lässt sich die Schwachstelle ausnutzen, indem speziell präparierter Netzwerkverkehr an ein verwundbares Windows-System geschickt wird. Gelingt der Angriff, können manipulierte Pakete einen Fehler in der Verarbeitung bestimmter TCP/IP-Daten im Kernel auslösen und so Code mit Systemrechten ausführen, ohne Anmeldung oder Benutzerinteraktion.

Zu den besonders beachteten Schwachstellen zählt auch CVE-2026-44815. Alex Vovk, Geschäftsführer und Mitgründer von Action1, erklärte dazu, dass für die Ausnutzung weder Zugangsdaten noch Benutzeraktionen erforderlich seien und dass sich Netzwerkverkehr in eine vollständige Systemkompromittierung verwandeln könne. Ein Angreifer könne speziell gestalteten Netzwerkverkehr an ein System senden, das für DHCP-Dienste konfiguriert ist. Vovk zufolge droht dabei nicht autorisierte Codeausführung über das Netzwerk mit erheblichen Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit.

Microsoft hat außerdem CVE-2026-45585 mit einem CVSS-Wert von 6,8 beseitigt, eine Umgehung einer Sicherheitsfunktion in Windows BitLocker. Für diese Lücke veröffentlichte der Sicherheitsforscher Chaotic Eclipse, auch bekannt als Nightmare-Eclipse, im vergangenen Monat bereits einen Proof-of-Concept mit dem Namen YellowKey. Microsoft beschreibt die Schwachstelle als Möglichkeit, die BitLocker-Geräteverschlüsselung auf dem Systemlaufwerk zu umgehen. Ein Angreifer mit physischem Zugriff auf das Zielsystem könne so auf verschlüsselte Daten zugreifen.

CVE-2026-45585 ist eine von mehreren in diesem Monat behobenen Umgehungen von Sicherheitsfunktionen. Laut dem Sicherheitsforscher Will Dormann dürfte CVE-2026-50507 ein Fix für eine als bitskrieg bezeichnete BitLocker-Umgehung sein, die vollständigen Zugriff auf verschlüsselte Daten erlaubt. Microsoft führt CVE-2026-50507 zusammen mit CVE-2026-49160 und CVE-2026-45586 als öffentlich bekannte Zero-Days.

Bei CVE-2026-49160 geht es um HTTP2/Bomb, eine Angriffstechnik, mit der sich Webserver binnen Sekunden außer Betrieb setzen lassen. In Tests von Calif verbrauchte ein IIS-Server dem Bericht zufolge 64 GByte Arbeitsspeicher in rund 45 Sekunden. Als Gegenmaßnahme hat Microsoft den neuen Registrierungseintrag „MaxHeadersCount“ eingeführt, um die Zahl der Header in HTTP/2- und HTTP/3-Anfragen zu begrenzen. Das soll laut Microsoft Systeme und Server vor übermäßigem Speicherverbrauch, hoher CPU-Last und Denial-of-Service-Angriffen schützen.

CVE-2026-45586 gilt derweil als möglicher Fix für einen Zero-Day zur Privilegienerweiterung, den Chaotic Eclipse unter dem Namen GreenPlasma veröffentlicht hatte. Zudem schließt das Juni-Update 2026 auch MiniPlasma, eine weitere von Chaotic Eclipse offengelegte Schwachstelle, die als unvollständiger Fix für CVE-2020-17103 beschrieben wird. Diese Lücke hatte Microsoft ursprünglich bereits im Dezember 2020 adressiert. Das Unternehmen empfiehlt zur vollständigen Behebung die Installation der Juni-2026-Updates für Windows.

Neben den Microsoft-Lücken enthält das Patch-Bündel zwei externe CVEs: die Windows-Kernel-Schwachstelle CVE-2025-10263 zur Privilegienerweiterung sowie CVE-2026-8863, eine Umgehung der UEFI-Secure-Boot-Sicherheitsfunktion. Hinzu kommen mehr als 350 Sicherheitsfehler, die Google in Chromium behoben hat.

Mehrere Beobachter führen den stark wachsenden Patch-Umfang auf KI-gestützte Methoden zur Entdeckung von Schwachstellen zurück. Microsoft geht davon aus, dass sich dieser Trend auf absehbare Zeit fortsetzt. Satnam Narang, leitender Forschungsingenieur bei Tenable, sprach davon, dass die sprichwörtliche Büchse der Pandora geöffnet worden sei. Dustin Childs, Leiter der Threat-Awareness-Abteilung bei TrendAIs Zero Day Initiative, wertete die Masse der Microsoft-Schwachstellen als Beleg dafür, wie sehr KI die Fehlersuche beschleunigt. Laut Childs übersteigt die Zahl der in diesem Jahr von Microsoft ausgelieferten CVEs bereits die Gesamtzahl aus dem gesamten Jahr 2018. Parallel dazu veröffentlichte Chaotic Eclipse noch einen Proof-of-Concept für einen weiteren Microsoft-Defender-Zero-Day namens RoguePlanet, den der Forscher als Race-Condition beschreibt, mit der sich eine Windows-Eingabeaufforderung mit SYSTEM-Rechten starten lasse.

Microsoft schließt 206 Sicherheitslücken, darunter drei öffentlich bekannte Zero-Days

Ähnliche Artikel

Neueste Artikel