Im Mittelpunkt des Juli-Patch-Tuesday stehen drei Zero-Day-Schwachstellen. Microsoft definiert eine Zero-Day-Lücke als öffentlich bekannt oder aktiv ausgenutzt, solange noch kein offizieller Fix verfügbar ist. In diesem Monat betrifft das zwei bereits in Angriffen genutzte Schwachstellen und eine öffentlich offengelegte Lücke.
Eine der aktiv ausgenutzten Schwachstellen ist CVE-2026-56155 in Active Directory Federation Services. Microsoft beschreibt das Problem als unzureichend fein abgestufte Zugriffskontrolle in AD FS, durch die ein autorisierter Angreifer lokal seine Rechte ausweiten kann. Der Hersteller schreibt die Entdeckung Jeremy Kingston und Scott Clark aus dem Microsoft Detection and Response Team (DART) zu, der Incident-Response-Einheit des Unternehmens. Details dazu, wie die Lücke in Angriffen ausgenutzt wurde, hat Microsoft nicht veröffentlicht.
Die zweite aktiv ausgenutzte Zero-Day-Schwachstelle ist CVE-2026-56164 in Microsoft SharePoint Server. Hier fehlt laut Microsoft eine Authentifizierung für eine kritische Funktion in Microsoft Office SharePoint, wodurch ein nicht autorisierter Angreifer über das Netzwerk erhöhte Rechte erlangen kann. Als mögliche Gegenmaßnahme nennt Microsoft die Aktivierung der Antimalware Scan Interface (AMSI) auf dem Server sowie das Setzen des Modus für die Anforderungstext-Prüfung auf „Vollständig“. Auch in diesem Fall macht das Unternehmen keine Angaben zur praktischen Ausnutzung bei Angriffen. Die Lücke wurde laut Microsoft Jayson Frost von Mandiant Incident Response, Genwei Jiang von Google Cloud, FLARE OTF sowie einem anonymen Forscher zugeschrieben.
Bei der öffentlich bekannten Zero-Day-Schwachstelle handelt es sich um CVE-2026-50661, eine Sicherheitsumgehung in Windows BitLocker. Microsoft zufolge kann ein erfolgreicher Angreifer die Geräteverschlüsselung von BitLocker auf dem Systemlaufwerk umgehen. Voraussetzung ist physischer Zugriff auf das Zielsystem; dann sei ein Zugriff auf verschlüsselte Daten möglich. Die Entdeckung schreibt Microsoft einem anonymen Forscher zu.
Insgesamt behebt Microsoft in diesem Patch Tuesday 59 kritische Schwachstellen. Davon entfallen 48 auf Remotecodeausführung, 9 auf Rechteausweitung, 1 auf eine Sicherheitsumgehung und 1 auf Spoofing. BleepingComputer weist darauf hin, dass in seiner Übersicht nur die Updates gezählt werden, die Microsoft an diesem Tag veröffentlicht hat.
Deshalb fehlen in der Zahl von 570 Schwachstellen Korrekturen für Mariner, Azure OpenAI, Azure Synapse, M365 Copilot, Microsoft Exchange Online, Microsoft Edge für Android und den Microsoft Entra Provisioning Service, die Microsoft bereits früher in diesem Monat bereitgestellt hatte. Hinzu kommt, dass 468 Schwachstellen in Microsoft Edge beziehungsweise Chromium, die Google in diesem Monat behoben hat, in dieser Patch-Tuesday-Zusammenstellung ebenfalls nicht enthalten sind. Im Juni hatte Google 360 Schwachstellen geschlossen, die später in Microsoft Edge übernommen wurden.
Bereits in der vergangenen Woche hatte Microsoft vor einem Anstieg der Patch-Tuesday-Sicherheitsupdates gewarnt. Der Grund sei die Einführung eines KI-gestützten Systems zur Schwachstellenerkennung, das mehr Sicherheitsfehler im Windows-Codebestand aufspüren soll, bevor Angreifer diese ausnutzen können.
