Zwei der nun behobenen Fehler waren bereits vor dem Patchday öffentlich bekannt. CVE-2026-21262 ermöglicht eine Rechteausweitung in SQL Server 2016 und späteren Editionen. Adam Barnett von Rapid7 betont, dass es sich nicht um eine gewöhnliche Lücke dieser Art handle: Laut Hinweis könne ein authentifizierter Angreifer seine Rechte über das Netzwerk bis zur Rolle sysadmin ausweiten. Der CVSS-v3-Basiswert von 8,8 liege nur knapp unter der Schwelle für kritische Einstufung, weil niedrige Rechte vorausgesetzt würden. Es wäre nach Barnetts Worten ein mutiger Verteidiger, der die Korrektur achselzuckend aufschöbe.
Die zweite vorab bekannte Schwachstelle ist CVE-2026-26127 in Anwendungen, die auf .NET laufen. Die unmittelbare Auswirkung beschränke sich laut Barnett wahrscheinlich auf einen Denial of Service durch einen ausgelösten Absturz, wobei während eines Dienst-Neustarts weitere Angriffsarten möglich seien.
Wie üblich ist auch mindestens eine kritische Office-Lücke dabei: CVE-2026-26113 und CVE-2026-26110 sind beides Schwachstellen zur Remotecodeausführung, die sich bereits durch das Betrachten einer präparierten Nachricht im Vorschaufenster auslösen lassen.
Satnam Narang von Tenable weist darauf hin, dass gut die Hälfte (55 Prozent) aller CVEs dieses Monats auf Rechteausweitung entfällt. Ein halbes Dutzend davon wurde als “Ausnutzung wahrscheinlicher” eingestuft – verteilt auf die Windows-Grafikkomponente, die Windows-Accessibility-Infrastruktur, den Windows-Kernel, den Windows-SMB-Server und Winlogon. Dazu zählen CVE-2026-24291 (fehlerhafte Rechtevergabe in der Accessibility-Infrastruktur, CVSS 7,8), CVE-2026-24294 (fehlerhafte Authentifizierung in der SMB-Kernkomponente, CVSS 7,8), CVE-2026-24289 (Speicherfehler und Race Condition, CVSS 7,8) sowie CVE-2026-25187, eine von Google Project Zero entdeckte Schwachstelle im Winlogon-Prozess (CVSS 7,8).
Ben McCarthy, leitender Sicherheitsingenieur bei Immersive, hebt CVE-2026-21536 hervor – eine kritische Lücke zur Remotecodeausführung in einer Komponente namens Microsoft Devices Pricing Program. Microsoft hat das Problem bereits auf eigener Seite gelöst, sodass Windows-Nutzer nichts unternehmen müssen. Bemerkenswert sei der Fall laut McCarthy, weil es sich um eine der ersten von einem KI-Agenten gefundenen und offiziell mit einer CVE für das Windows-Betriebssystem anerkannten Schwachstellen handle. Entdeckt wurde sie von XBOW, einem vollständig autonomen KI-Agenten für Penetrationstests.
XBOW rangiert nach McCarthys Angaben seit etwa einem Jahr durchgehend an oder nahe der Spitze der HackerOne-Bug-Bounty-Rangliste. Die mit CVSS 9,8 bewertete Lücke zeige, dass KI-Agenten kritische Schwachstellen auch ohne Zugang zum Quellcode aufspüren könnten. Obwohl Microsoft den Fehler bereits behoben habe, verdeutliche dies eine Verschiebung hin zur KI-gestützten Entdeckung komplexer Schwachstellen in zunehmendem Tempo; KI-gestützte Schwachstellenforschung werde künftig eine wachsende Rolle spielen.
Unabhängig vom Patchday hatte Microsoft bereits Korrekturen für neun Browser-Schwachstellen bereitgestellt, die in der genannten Gesamtzahl nicht enthalten sind. Zudem veröffentlichte das Unternehmen ein außerplanmäßiges Notfall-Update für Windows Server 2022, das ein Problem bei der Zertifikatserneuerung im Zusammenhang mit der passwortlosen Authentifizierungstechnik Windows Hello for Business behebt.
Auch andere Hersteller lieferten Updates: Adobe behob 80 Schwachstellen – teils kritischer Schwere – in mehreren Produkten, darunter Acrobat und Adobe Commerce. Mozilla Firefox in Version 148.0.2 schließt drei als hochgradig eingestufte CVEs.
