Microsoft hat am Dienstag Patches für 83 Sicherheitslücken veröffentlicht. Während bisher keine Exploits im freien Netz gemeldet wurden, wurden zwei Schwachstellen öffentlich offengelegt: CVE-2026-26127, ein Denial-of-Service-Problem in .NET, und CVE-2026-21262, eine Privilege-Escalation-Lücke in SQL Server.
Der Sicherheitsexperte Satnam Narang von Tenable relativiert die Gefahr: Die DoS-Sicherheitslücke sei schwer auszunutzen und erfordere vorab autorisierte Zugriffe, während die Privilege-Escalation-Lücke als weniger wahrscheinlich Ziel von Attacken eingestuft wird.
Die kritischste Lücke ist CVE-2026-21536 (CVSS 9.8), eine Remote-Code-Execution-Sicherheitslücke in der Devices Pricing Program. Microsoft hat diese bereits vollständig mitigiert. “Es sind keine Maßnahmen erforderlich. Dieses CVE dient nur der Transparenz”, erklärt das Unternehmen.
Besondere Aufmerksamkeit verdient CVE-2026-26118, eine Privilege-Escalation in Azure MCP Server Tools. Angreifer könnten bösartig manipulierte Eingaben an Server-Tools mit benutzerdefinierten Parametern senden. “Wenn Angreifer mit dem MCP-gestützten Agent interagieren, können sie bösartige URLs statt echter Azure-Ressourcen-Identifikatoren einschleusen. Der MCP Server sendet dann Anfragen an diese URL und könnte dabei seinen Managed-Identity-Token offenlegen – ohne administrativen Zugriff”, warnt Microsoft.
Narang hebt auch mehrere Privilege-Escalation-Bugs in Windows Graphics Component, Windows Accessibility Infrastructure, Windows Kernel, Windows SMB Server und Winlogon als potentiell kritisch hervor, da solche Lücken häufig nach initialen Zugriffen ausgenutzt werden.
Tyler Reguly von Fortra empfiehlt, fünf Azure-Sicherheitslücken genauer zu beobachten: eine Privilege-Escalation in Azure Linux Virtual Machines (CVE-2026-23665) und mehrere Spoofing- sowie Information-Disclosure-Flaws in Azure IoT Explorer (CVE-2026-26121, CVE-2026-23661, CVE-2026-23662, CVE-2026-23664).
“Diese Sicherheitslücken erfordern nicht-standardisierte Patch-Mechanismen, was IT-Teams zusätzliche Arbeit beschert. CSOs sollten vollständige Asset-Inventare ihrer Cloud-Infrastruktur führen, damit Administratoren wissen, wo diese Systeme laufen und wann sie gepflegt werden müssen. Das ist die beste Vorbereitung für solche ruhigen Monate”, rät Reguly.
Microsoft behoben auch 10 Fremdschwachstellen, darunter eine im Microsoft Semantic Kernel Python SDK und neun in Microsoft Edge (basierend auf Chromium).
Parallel dazu kündigte Adobe Patches für 80 Schwachstellen an, darunter kritische Lücken in Adobe Commerce.