Im Mittelpunkt des Juli-Patch-Tuesday von Microsoft stehen zwei bereits ausgenutzte Zero-Days. Die als CVE-2026-56155 geführte Schwachstelle betrifft laut Microsoft Active Directory Federation Services und kann einem Angreifer lokal Administratorrechte verschaffen. Ebenfalls zur Rechteausweitung führt CVE-2026-56164 in SharePoint Server; diese Lücke lässt sich laut Microsoft über das Netzwerk und ohne vorherige Authentifizierung ausnutzen.
Zusätzliche Aufmerksamkeit richtet Microsoft auf CVE-2026-50661. Dabei handelt es sich um eine Umgehung von BitLocker-Sicherheitsfunktionen, die von Angreifern mit physischem Zugriff ausgenutzt werden kann. Die Schwachstelle war bereits vor dem Patch Tuesday im Juli 2026 öffentlich offengelegt worden.
Satnam Narang, leitender Forschungsingenieur bei Tenable, brachte die Veröffentlichung mit einer Serie jüngst bekannt gewordener Zero-Day-Meldungen in Verbindung. „Wir vermuten, dass dies mit einer Flut von Zero-Day-Schwachstellen zusammenhängen könnte, die von dem Forscher mit dem Namen Nightmare-Eclipse oder Chaotic-Eclipse offengelegt wurden, auch wenn es dafür keine offizielle Bestätigung gibt“, erklärte Narang.
Nach Microsofts Veröffentlichungsnotizen entfielen in diesem Monat 416 der behobenen Schwachstellen auf Windows. Für die Office-Suite stellte das Unternehmen Patches für 164 Schwachstellen bereit. Darüber hinaus schließt das Update-Paket Sicherheitslücken in weiteren Produkten, darunter Azure, Defender, Developer Tools, Exchange Server, Edge und SQL Server.
Besondere Beachtung verdienen laut ZDI mehrere kritische Schwachstellen. Dazu zählt CVE-2026-57092 in Windows VMSwitch mit einem CVSS-Wert von 9,9. Ebenfalls hervorgehoben werden kritische SharePoint-Lücken mit den Kennungen CVE-2026-50522 und CVE-2026-50522, jeweils mit einem CVSS-Wert von 9,8.
ZDI verweist außerdem auf weitere Schwachstellen, die erhöhte Aufmerksamkeit verdienen. Genannt werden eine XSS-Schwachstelle in Exchange Server (CVE-2026-55008) sowie mehrere Fehler zur Remotecodeausführung in Remote Desktop Protocol (CVE-2026-56190), Windows DHCP Server (CVE-2026-50518), dem Windows Server Network driver (CVE-2026-56188) und Minecraft Bedrock Dedicated Server (CVE-2026-55010).
Mit insgesamt 622 behobenen Schwachstellen liegt Microsofts bisherige CVE-Gesamtzahl in diesem Jahr laut dem Bericht bereits über den Vergleichswerten anderer Jahre. Überraschend kommt das laut Quelle jedoch nicht. Erst vergangene Woche hatte Windows-Manager Pavan Davuluri erklärt, dass Künstliche Intelligenz die Suche nach Schwachstellen beschleunige und Microsoft dafür das „mehrmodellige agentische Scan-Gerüst“ MDASH einsetze, um Fehler im Windows-Code schneller aufzuspüren.
Davuluri sagte dazu: „Wir entwickeln unsere internen Systeme und Verfahren weiter, damit das Auffinden von Schwachstellen nicht als getrennte Tätigkeit behandelt wird, sondern als Teil dessen, wie wir Windows bauen, prüfen und verbessern, bevor neue Funktionen oder Updates veröffentlicht werden.“ Neben Microsoft veröffentlichte am selben Patch Tuesday auch Adobe Updates für 88 Schwachstellen, darunter kritische Fehler in ColdFusion, Commerce, Experience Manager und Illustrator.
