Zu den beiden öffentlich bekannten Zero-Days zählt zunächst CVE-2026-21262, eine Schwachstelle zur Rechteausweitung in SQL Server. Über sie lassen sich SQLAdmin-Privilegien erlangen. Laut Microsoft erlaubt “eine unzureichende Zugriffskontrolle in SQL Server einem berechtigten Angreifer, seine Rechte über ein Netzwerk auszuweiten”. Microsoft schreibt die Entdeckung Erland Sommarskog zu, der gegenüber BleepingComputer angab, die Lücke sei ursprünglich im Artikel “Packaging Permissions in Stored Procedures” offengelegt worden.

Der zweite Zero-Day, CVE-2026-26127, betrifft .NET und ermöglicht einen Denial-of-Service. Microsoft beschreibt die Lücke so, dass “ein Lesezugriff außerhalb der vorgesehenen Speichergrenzen in .NET einem nicht autorisierten Angreifer erlaubt, einen Dienst über ein Netzwerk lahmzulegen”. Diese Schwachstelle wurde einem anonymen Forscher zugeschrieben.

Darüber hinaus hat Microsoft zwei Lücken zur Remotecodeausführung in Microsoft Office geschlossen, CVE-2026-26110 und CVE-2026-26113. Beide lassen sich über die Vorschaufunktion ausnutzen, weshalb Nutzer das Update der Anwendung vorrangig einspielen sollten.

Besondere Aufmerksamkeit verdient die Schwachstelle zur Informationsoffenlegung in Microsoft Excel (CVE-2026-26144), da sie sich zum Abfluss von Daten über Microsoft Copilot eignen könnte. Nach Angaben von Microsoft könnte ein Angreifer bei erfolgreicher Ausnutzung “den Copilot-Agent-Modus dazu bringen, Daten über unbeabsichtigten Netzwerkverkehr abfließen zu lassen, wodurch ein Zero-Click-Angriff zur Informationsoffenlegung möglich wird”.

Microsoft präzisierte den Artikel nachträglich um die Angabe, wo CVE-2026-21262 offengelegt wurde. Informationen zu den ebenfalls veröffentlichten Nicht-Sicherheitsupdates finden sich in den gesonderten Berichten zu den kumulativen Updates KB5079473 und KB5078883 für Windows 11 sowie zum erweiterten Sicherheitsupdate KB5078885 für Windows 10.