Mit 622 behobenen Schwachstellen ist Microsofts Patch Tuesday im Juli 2026 laut dem Bericht der größte in der Geschichte des Programms. Josh Taylor, leitender Cybersecurity-Analyst bei Fortra, verwies darauf, dass 26 der Schwachstellen einen CVSS-Basiswert von mehr als 9,0 haben, darunter 13 mit 9,8. Entscheidend sei aber nicht allein der Schweregrad nach CVSS, sondern die Kombination aus bereits ausgenutzten Lücken, einer öffentlich bekannten BitLocker-Schwachstelle und der hohen Dichte an Problemen in Windows und Office.
Zu den akutesten Risiken zählen zwei bereits aktiv ausgenutzte Zero-Days. CVE-2026-56155 mit einem CVSS-Wert von 7,2 ist eine Rechteausweitung in Microsoft Active Directory Federation Services, über die Angreifer Systemrechte erlangen können. CVE-2026-56164 mit einem CVSS-Wert von 5,3 ist ebenfalls eine Schwachstelle zur Rechteausweitung und geht auf fehlende Authentifizierung in einer kritischen Funktion von SharePoint Server zurück. Die US-Behörde CISA hat beide Lücken bereits in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen. Bundesbehörden in den USA sollen das SharePoint-Problem bis zum 17. Juli und die Active-Directory-Lücke bis zum 28. Juli beheben.
Die dritte Zero-Day-Schwachstelle ist CVE-2026-50661 in Windows BitLocker mit einem CVSS-Wert von 6,1. Dabei handelt es sich um eine Umgehung einer Sicherheitsfunktion. Ein Angreifer mit physischem Zugriff auf ein betroffenes System kann damit BitLockers Geräteverschlüsselung umgehen und auf verschlüsselte Daten zugreifen. Öffentlich bekannt ist die Schwachstelle bereits, eine aktive Ausnutzung liegt laut Bericht bislang aber nicht vor.
Sicherheitsexperten hoben darüber hinaus mehrere weitere Lücken aus dem Juli-Update hervor, die sofortige Aufmerksamkeit verdienen. Dazu zählt CVE-2026-57092 mit einem CVSS-Wert von 9,9 in Windows VMSwitch. Die Schwachstelle kann dazu genutzt werden, aus der Grenze einer virtuellen Maschine auszubrechen und das Host-System zu kompromittieren. Ebenfalls kritisch ist CVE-2026-48561 mit CVSS 9,6, eine Schwachstelle zur Remotecodeausführung in Microsoft Copilot, über die ein nicht autorisierter Angreifer beliebigen Code auf betroffenen Systemen ausführen kann.
Hinzu kommen CVE-2026-55008 mit CVSS 9,6, eine Spoofing-Schwachstelle in Microsoft Exchange Server, die laut Microsoft mit höherer Wahrscheinlichkeit ausgenutzt wird, sowie CVE-2026-58644 mit CVSS 9,8, eine Remotecodeausführung in SharePoint Server. Außerdem nennt der Bericht mit CVE-2026-55012 und CVE-2026-55011 zwei Schwachstellen zur Remotecodeausführung in Microsoft Defender, beide mit einem CVSS-Wert von 7,8.
Nightwing sprach von einem Wendepunkt für die Branche: Man bewege sich weg vom traditionellen Patch Tuesday hin zu einer Phase kontinuierlicher, hochvolumiger Sicherheitsupdates und eines fortlaufenden Patchens. Auch Jack Bicer, Director of Vulnerability Research bei Action1, sieht weniger die reine Anzahl der Schwachstellen als Problem, sondern vielmehr die Fähigkeit, Patches schnell zu bewerten, zu priorisieren und auszurollen.
Satnam Narang, Senior Staff Research Engineer bei Tenable, sagte gegenüber Dark Reading, der beste Weg zur schnellen und nachvollziehbaren Risikoreduktion sei es, Schwachstellen mit Kontext zu bewerten und die Behebung nach dem größten Bedrohungspotenzial zu priorisieren. Er verwies darauf, dass heutige Ausnutzbarkeitsindizes die Geschwindigkeit KI-entwickelter Exploits nicht abbilden. Als Beispiel nannte er Claude’s Mythos Preview, das für 13 von 14 Schwachstellen, die Microsoft als „weniger wahrscheinlich ausnutzbar“ oder „unwahrscheinlich ausnutzbar“ eingestuft hatte, Proof-of-Concept-Exploits erzeugen konnte.
Mayuresh Dani von der Qualys Threat Research Unit erklärte, die Zeit einer Priorisierung allein nach CVSS sei vorbei. Organisationen sollten bei der Einordnung von Schwachstellen auch Modelle und Datenquellen wie EPSS, CISA KEV und das Modell der wahrscheinlich ausgenutzten Schwachstellen berücksichtigen. Zudem riet er dazu, Angriffsflächen zu verkleinern und Dienste wie Active Directory FS nicht direkt dem Internet auszusetzen. Auch lokal betriebene SharePoint-Installationen mit öffentlichem Zugriff sowie von überall erreichbare Fernverwaltungswerkzeuge sollten vermieden werden.
