SchwachstellenHackerangriffeCloud-Sicherheit

Microsoft-Patchday März 2026: 79 Sicherheitslücken geschlossen, darunter 2 Zero-Days

Microsoft-Patchday März 2026: 79 Sicherheitslücken geschlossen, darunter 2 Zero-Days
Zusammenfassung

Microsofts März-2026-Patch-Tuesday behebt 79 Sicherheitslücken, darunter zwei öffentlich bekannte Zero-Days. Betroffen sind SQL Server, .NET und Microsoft Office. Besonders kritisch sind zwei Remote-Code-Execution-Bugs in Office und eine Information-Disclosure-Lücke in Excel, die Datenverluste über Microsoft Copilot ermöglichen könnte. Benutzer sollten Patches priorisieren, da keine aktiven Exploits bekannt sind.

Microsofts monatlicher Sicherheitspatchday im März 2026 bringt Fixes für 79 Schwachstellen mit sich. Neben zwei öffentlich bekannten Zero-Days werden drei als kritisch eingestufte Lücken geschlossen, darunter zwei Remote-Code-Execution-Fehler und ein Informationspreisgabe-Problem.

Zwei Zero-Days im Fokus

Die beiden öffentlich gemachten Zero-Days werden derzeit nach Microsofts Klassifizierung zwar nicht aktiv ausgenutzt, sind aber bereits offengelegt:

Die erste Schwachstelle CVE-2026-21262 betrifft SQL Server und ermöglicht Privilegienerweiterung auf SQLAdmin-Ebene. Der Fehler wurde von Erland Sommarskog entdeckt und ursprünglich in einem Artikel zur “Packaging Permissions in Stored Procedures” beschrieben. Die Lücke erlaubt autorisierten Angreifern, Rechte über das Netzwerk zu erhöhen.

Die zweite CVE-2026-26127 ist ein Denial-of-Service-Fehler in .NET, der durch Out-of-Bounds-Lesevorgänge verursacht wird und es Angreifern erlaubt, Dienste übers Netzwerk lahmzulegen.

Microsoft Office unter Druck

Zwei kritische Remote-Code-Execution-Bugs (CVE-2026-26110 und CVE-2026-26113) in Microsoft Office können über die Vorschaufunktion ausgenutzt werden – Nutzer sollten daher schnellstmöglich aktualisieren.

Besondere Aufmerksamkeit verdient der Informationspreisgabe-Fehler in Excel (CVE-2026-26144). Diese Lücke könnte von Angreifern ausgenutzt werden, um über Microsofts Copilot Daten abzuführen. Microsoft warnt: “Ein erfolgreicher Exploit könnte Copilot im Agent-Modus dazu bringen, Daten unbeabsichtigt ins Netzwerk zu übertragen und ermöglicht einen Zero-Click-Angriff.” Dies stellt ein erhebliches Sicherheitsrisiko dar, da kein direktes Benutzer-Zutun erforderlich ist.

Umfassende Updates für Windows

Neben den Sicherheitspatches enthält der März-Patchday kumulative Updates für Windows 11 (KB5079473 & KB5078883) und ein erweitertes Sicherheitsupdate für Windows 10 (KB5078885). Diese sollten zeitnah eingespielt werden, um den Systemen maximalen Schutz zu bieten.

Zu beachten ist: Die Gesamtzahl der 79 Lücken berücksichtigt nicht neun Microsoft-Edge-Fehler, Lücken in Mariner, Payment Orchestrator Service, Azure und dem Microsoft Devices Pricing Program, die bereits früher im März gepatcht wurden.

Auch andere Anbieter haben im März 2026 Sicherheitsupdates und Advisories veröffentlicht, um ihre Produkte gegen verschiedenste Bedrohungen zu schützen.

Ähnliche Artikel