Unter den bereits ausgenutzten Zero-Days sind zwei Schwachstellen zur Rechteausweitung in Windows-Systemen. Zu den in diesem Monat behobenen Lücken dieser Klasse zählen laut Microsoft insgesamt rund 250 Fehler zur Ausweitung von Berechtigungen. Namentlich nennt der Konzern CVE-2026-56155, einen Fehler in Active Directory Federation Services, sowie CVE-2026-56164, eine Schwachstelle in Microsoft Sharepoint.
Ebenfalls behoben wurde CVE-2026-50661, eine Umgehung von Sicherheitsfunktionen in Windows BitLocker. Diese Schwachstelle könnte Angreifern Zugriff auf verschlüsselte Daten ermöglichen, wenn sie physischen Zugriff auf das betroffene Gerät haben. Microsoft erklärte, die Lücke sei öffentlich beschrieben worden, dem Unternehmen sei jedoch keine aktive Ausnutzung bekannt.
Besondere Aufmerksamkeit lenkte Jack Bicer, Direktor für Schwachstellenforschung bei Action1, auf CVE-2026-48561. Dabei handelt es sich um eine Schwachstelle zur Remotecodeausführung in Microsoft Copilot mit einem CVSS-Wert von 9,6. Nach Angaben von Microsoft kann ein nicht autorisierter Angreifer darüber Code über das Netzwerk ausführen. Ausgenutzt werden könnte der Fehler demnach, indem ein Angreifer eine präparierte Website bereitstellt, die Microsoft Edge für Android beim Besuch automatisch dazu bringt, manipulierte Eingaben an Copilot zu senden.
Microsoft hatte die steigende Zahl der Patches bereits in einem Blogbeitrag thematisiert. Pavan Davuluri, Executive Vice President bei Microsoft, schrieb am 9. Juli, Fortschritte bei KI veränderten das Tempo der Schwachstellenforschung. Sie machten es möglich, „mehr Probleme schneller über mehr Code hinweg zu finden, mit neuen Mechanismen, die sowohl die Entdeckung als auch die Analyse beschleunigen können“.
Dass KI nicht nur die Abwehr, sondern auch die Entwicklung von Exploits beschleunigt, hebt Satnam Narang hervor, leitender Forschungsingenieur bei Tenable. Er kritisiert Microsofts seit Langem verwendeten „Exploitability Index“, mit dem der Konzern einschätzt, wie wahrscheinlich eine verlässliche Ausnutzung einer Schwachstelle ist. Narang argumentiert, dieser Maßstab müsse sich stärker an der maschinellen Geschwindigkeit moderner KI-Systeme orientieren.
Als Beispiel nennt Narang die SharePoint-Zero-Day-Lücke dieses Monats. Microsoft hatte ihre Ausnutzbarkeit zunächst mit „weniger wahrscheinlich“ bewertet, obwohl die Schwachstelle am 1. Juli in CISA-Katalog der bekannten aktiv ausgenutzten Schwachstellen aufgenommen wurde. Narang verweist zudem auf Ergebnisse des Red Teams von Anthropic: Dessen Mythos-Preview-Modell habe für 13 von 14 bekannten Schwachstellen Machbarkeitsnachweise erzeugen können, obwohl diese zuvor mit „Ausnutzung weniger wahrscheinlich“ oder „Ausnutzung unwahrscheinlich“ eingestuft worden waren.
Auch andere Hersteller erhöhen nach Beobachtung von Chris Goettl bei Ivanti ihr Patch-Tempo. Adobe kündigte an, Sicherheitsbulletins künftig zweimal monatlich zu veröffentlichen, jeweils am zweiten und vierten Dienstag des Monats, und begründete dies ebenfalls mit KI-beschleunigten Patch-Zyklen. Goettl zufolge liefern auch Cisco, Mozilla und Oracle häufiger Updates aus. Bei Google summierten sich die Patch-Bündel im Juni 2026 nach seinen Angaben auf mehr als 900 Sicherheitskorrekturen.
