Microsoft schließt im Juni fast 200 Sicherheitslücken – so viele wie nie an einem Patch Tuesday

Zusammenfassung

Microsoft hat zum Patch Tuesday in diesem Monat Software-Updates für fast 200 Sicherheitslücken in Windows und unterstützter Software veröffentlicht – so viele wie noch nie in diesem monatlichen Zyklus. Knapp drei Dutzend der Schwachstellen stuft das Unternehmen als kritisch ein, und für mindestens drei Lücken ist bereits öffentlich Exploit-Code verfügbar. Nach Einschätzung von Satnam Narang, Senior Staff Research Engineer bei Tenable, könnte dieses hohe Patch-Volumen künftig häufiger werden. Hintergrund sei, dass sowohl Microsofts eigene Entwickler als auch die Sicherheitscommunity zunehmend Werkzeuge mit Künstlicher Intelligenz zur Fehlersuche einsetzen. Microsoft hatte dazu bereits im vergangenen Monat in einem Blogbeitrag erklärt, dass der Einsatz solcher Werkzeuge zunimmt. Zu den in diesem Monat behobenen Zero-Days zählen unter anderem eine Denial-of-Service-Schwachstelle in verschiedenen Webservern einschließlich Microsoft Internet Information Services sowie weitere Lücken, die im Umfeld jüngster Veröffentlichungen des Forschers Nightmare Eclipse stehen. Zusätzlich weist Rapid7 darauf hin, dass die tatsächliche Zahl der in diesem Monat von Microsoft behobenen Probleme deutlich höher liegt, weil Browser-Schwachstellen nicht in die Patch-Tuesday-Gesamtzahl einfließen.

Zu den Zero-Days dieses Monats gehört CVE-2026-49160, eine Denial-of-Service-Schwachstelle, die laut Microsoft eine Reihe von Webservern betrifft, darunter Microsoft Internet Information Services (IIS). Microsoft gibt an, dass die Lücke von OpenAI Codex gemeldet wurde.

Zwei weitere in diesem Monat adressierte Zero-Days stehen offenbar im Zusammenhang mit jüngsten Veröffentlichungen von Nightmare Eclipse. Hinter diesem Namen verbirgt sich ein Sicherheitsforscher, der wiederholt Exploits für verschiedene Windows-Schwachstellen veröffentlicht hat. Einer dieser Exploits mit dem Namen „GreenPlasma“ nutzt eine Schwachstelle zur Rechteausweitung im Windows Collaborative Translation Framework aus – genau jenem Framework, das Microsoft nun mit CVE-2026-45586 gepatcht hat.

Auch „YellowKey“, das Nightmare Eclipse im vergangenen Monat veröffentlicht hatte, spielt in die aktuelle Update-Runde hinein. Dabei handelt es sich um einen Exploit für eine BitLocker-Schwachstelle, mit der ein Angreifer bei physischem Zugriff verschlüsselte Daten einsehen kann. Microsoft schließt in diesem Zusammenhang CVE-2026-50507, ebenfalls eine Schwachstelle zur Rechteausweitung in BitLocker.

Im vergangenen Monat hatte Microsoft in sozialen Netzwerken starke Kritik ausgelöst, nachdem das Unternehmen in einem Blogbeitrag erklärt hatte, rechtliche Schritte gegen den Sicherheitsforscher zu erwägen. Später stellte Microsoft auf Twitter/X klar, man beabsichtige nicht, gegen Forscher rechtlich vorzugehen, werde sie aber den Behörden melden, falls sie gegen Gesetze verstoßen. In den Hinweisen zu CVE-2026-49160 und CVE-2026-50507 nennt Microsoft im Danksagungsabschnitt keine Forscher namentlich, sondern erklärt lediglich, man erkenne die Bemühungen der Sicherheitscommunity an, Kunden durch koordinierte Offenlegung von Schwachstellen zu schützen.

Nightmare Eclipse behauptet, ein ehemaliger Microsoft-Mitarbeiter zu sein; auf Fragen zu dieser Behauptung reagierte Microsoft laut Quelle nicht. Rapid7 verweist zudem darauf, dass ein jüngerer Blogbeitrag von Nightmare Eclipse ein Bild von Albert Wesker enthielt, einer Figur aus der Spielereihe Resident Evil, die früher als Forscher für ein Technologieunternehmen arbeitete und später abtrünnig wurde.

Der Forscher hat angekündigt, am 14. Juli weitere Zero-Day-Exploits für Windows zu veröffentlichen. Unmittelbar nach Freigabe der heutigen Microsoft-Patches veröffentlichte Nightmare Eclipse zudem einen Exploit für eine nach eigener Darstellung bislang unbekannte Zero-Day-Schwachstelle in Windows Defender.

Dass fast 200 Schwachstellen einen Rekord für den Patch Tuesday darstellen, bedeutet laut Adam Barnett von Rapid7 noch nicht das vollständige Bild. Microsoft habe in diesem Monat bislang zudem Patches für 360 Browser-Schwachstellen bereitgestellt – eine Größenordnung, die laut Barnett deutlich über dem üblichen Niveau der vergangenen Jahre liegt. Diese Browser-Lücken sind wie üblich nicht in der Patch-Tuesday-Zahl enthalten. Der starke und aus Barnetts Sicht wohl anhaltende Anstieg habe sogar dazu geführt, dass Microsoft Chromium-CVEs nicht mehr im Security Update Guide einzeln aufzählt.

Zusätzlich schloss Microsoft eine Zero-Day-Schwachstelle in Visual Studio Code, über die Angreifer mit einem einzigen Klick GitHub-Tokens stehlen können. Für diese Lücke musste das Unternehmen bereits am 3. Juni eine Übergangslösung ausrollen, nachdem ein Forscher Anweisungen zur Ausnutzung veröffentlicht hatte. Der Forscher erklärte, er habe bewusst nicht mit Microsoft zusammengearbeitet, weil Redmond nach seiner Darstellung kürzlich eine von ihm gemeldete Schwachstelle stillschweigend gepatcht habe, ohne ihn zu nennen oder anzuerkennen.

Auch intern hatte Microsoft zuletzt mit akuten Sicherheitsproblemen zu kämpfen. In der vergangenen Woche wurden mindestens 72 öffentliche Code-Repositories des Unternehmens mit einer Variante des Wurms Shai-Hulud infiziert. Forscher stellten fest, dass alle betroffenen Pakete mit dem offiziellen Azure Durable Task SDK von Microsoft verbunden waren, das bereits im Mai von demselben Shai-Hulud-Wurm getroffen worden war.

Nicht nur Microsoft liefert in diesem Monat ungewöhnlich große Update-Pakete aus. Adobe hat Updates für eine große Zahl kritischer Schwachstellen in mehreren Produkten veröffentlicht, darunter Adobe Experience Manager, Acrobat Reader und Cold Fusion. Google wiederum behob am 3. Juni in einem Chrome-Update 429 Schwachstellen. Chrome lädt Aktualisierungen zwar automatisch herunter, zur Installation ist in der Regel aber ein vollständiger Neustart des Browsers nötig.

Microsoft schließt im Juni fast 200 Sicherheitslücken – so viele wie nie an einem Patch Tuesday

Ähnliche Artikel

Neueste Artikel