Die drei bereits offengelegten Zero-Day-Schwachstellen gelten laut Forschern als besonders beachtenswert. Dazu zählt CVE-2026-45586 mit einem CVSS-Wert von 7,8, eine Schwachstelle zur Rechteausweitung in Windows Collaborative Translation Framework (CTFMON), über die Angreifer System-Rechte erlangen können. Ebenfalls öffentlich bekannt waren CVE-2026-49160 mit CVSS 7,5, ein Denial-of-Service-Fehler in Windows.sys, sowie CVE-2026-50507 mit CVSS 6,8, mit der sich Microsofts Sicherheitsfunktion BitLocker umgehen lässt.

Amol Sarwate, Leiter der Sicherheitsforschung bei Cohesity, sieht zwei nahezu maximal bewertete Schwachstellen aus diesem Monat als vorrangig an. Die erste ist CVE-2026-47291 mit CVSS 9,8, eine Schwachstelle zur Remotecodeausführung in Windows HTTP.sys. Die zweite ist CVE-2026-44815 mit ebenfalls CVSS 9,8 im Dienst Windows DHCP Client. Sarwate warnte, CVE-2026-47291 müsse oberste Priorität haben, weil nicht authentisierte Angreifer damit aus der Ferne ohne Benutzerinteraktion eine vollständige Kompromittierung erreichen könnten; dadurch sei die Schwachstelle potenziell wurmfähig. Für CVE-2026-44815 gelte Ähnliches, da der DHCP-Client auf praktisch jedem Windows-Endpunkt laufe und damit eine enorme Angriffsfläche biete.

Auch die Forscher von Action1 nennen mehrere Schwachstellen, die aus ihrer Sicht hohe Priorität verdienen. Dazu gehören die beiden kritischen Schwachstellen zur Remotecodeausführung in der Windows Graphics Component, CVE-2026-44812 und CVE-2026-44803, jeweils mit CVSS 7,8, sowie CVE-2026-42987 mit CVSS 8,1, ebenfalls eine Schwachstelle zur Remotecodeausführung in Windows Deployment Services. Action1 bezeichnete CVE-2026-44812 als „Eingangstor zur vollständigen Systemkompromittierung“. CVE-2026-44803 könne schon durch eine einzelne Vorschau-Aktion „den Weg zur Codeausführung öffnen“.

Auffällig ist zudem, dass Microsofts Juni-Update offenbar keine Korrekturen für mehrere Schwachstellen enthält, die der als Nightmare Eclipse bekannte und verärgerte Sicherheitsforscher kürzlich offengelegt hatte. Die unter den Namen YellowKey, GreenPlasma und MiniPlasma geführten Schwachstellen ermöglichen laut Quelle mehrere missbräuchliche Aktionen, darunter das Umgehen von Sicherheitsfunktionen und Rechteausweitung.

Der Umfang des Juni-Pakets liegt deutlich über dem bisherigen Höchststand von 175 CVEs aus dem Oktober 2025. Tom Gallagher, bei Microsoft Vizepräsident für Engineering, hatte bereits im vergangenen Monat erklärt, dass Veröffentlichungen dieser Größenordnung zur neuen Normalität werden könnten, weil KI-Werkzeuge die Entdeckung von Schwachstellen in einer zuvor nicht gesehenen Geschwindigkeit und Menge ermöglichten.

Satnam Narang, Senior Staff Research Engineer bei Tenable, hält Patch-Tuesday-Veröffentlichungen mit nur 50 bis 70 CVEs für ein Modell der Vergangenheit. Gegenüber Dark Reading sagte er, er rechne damit, dass mindestens mehr als 100 CVEs pro Monat im weiteren Verlauf von 2026 und darüber hinaus zur Norm werden. Als Herausforderung für Sicherheitsteams nannte er die Geschwindigkeit, mit der Angreifer N-Day- oder bekannte Schwachstellen bewaffnen könnten, wenn Modelle wie Claude Mythos, GPT 5.5 und DeepSeek v4 leichter zugänglich werden. Das senke nicht nur die Eintrittshürde für einzelne Akteure, sondern auch die Kosten.

Tyler Reguly, Associate Director of Security R&D bei Fortra, warnt allerdings davor, sich allein von der Menge der Patches einschüchtern zu lassen. Zwar seien es in diesem Monat 206 CVEs, aber nur drei davon seien öffentlich bekannt gemacht worden und keine werde als bereits ausgenutzt geführt, sagte er gegenüber Dark Reading. Wenn man von der „Zero-Day-Uhr“ ausgehe, beginne die Zeit für die aktive Entwicklung von Exploits jetzt, und die mittlere Zeit bis zur Ausnutzung liege bei 21,5 Stunden.

Reguly verweist zugleich auf bisherige Zahlen: 2023 landeten 28 CVEs in CISA’s Katalog der bekannten ausgenutzten Schwachstellen, 2024 waren es 32 und 2025 insgesamt 30. Das entspreche im Schnitt 30 CVEs pro Jahr oder 2,5 pro Monat. Bislang seien 2026 15 CVEs in den KEV-Katalog aufgenommen worden; sollten die drei öffentlich bekannten Juni-Schwachstellen hinzukommen, läge die Zahl zur Jahresmitte bei 18 beziehungsweise im Schnitt bei drei pro Monat. Sein Fazit: KI verändere die Lage, bislang aber nur leicht.

Ähnlich äußerte sich Justin Fier, Senior Vice President bei Darktrace. Unternehmen müssten mit weiter steigenden Schwachstellenzahlen rechnen, weil KI-gestützte Schwachstellenforschung zunehme. Entscheidend sei weniger, ob jeder Monat mehr als 200 Patches bringe, sondern dass Sicherheitsteams einen größeren und kontinuierlicheren Strom an Schwachstellen bewerten und bearbeiten müssten.