Microsoft Patch Day: 120 Sicherheitslücken geschlossen

Microsoft hat am 12. Mai 2026 im Rahmen seines monatlichen Patch Days Sicherheits-Updates veröffentlicht, die insgesamt 120 neue Sicherheitslücken beheben. Diese Updates betreffen nicht nur Windows und Office, sondern auch die Cloud-Dienste des Unternehmens. Bislang sind keine der Schwachstellen aktiv ausgenutzt worden, was die Dringlichkeit der Updates unterstreicht. Von den 120 Schwachstellen stuft Microsoft 30 als kritisch ein, während die restlichen als hohes Risiko klassifiziert werden.

Die Details zu den Schwachstellen sind im Leitfaden für Sicherheitsupdates zu finden, der jedoch spärliche Informationen bietet. Dustin Childs von Trend Micro ZDI hebt hervor, dass die hohe Anzahl der geschlossenen Lücken möglicherweise mit dem bevorstehenden Hacker-Wettbewerb Pwn2own in Berlin am 14. Mai zusammenhängt. Unter den kritischen Schwachstellen sind mehrere bedeutende Lücken in Windows identifiziert worden. Die Sicherheitsanfälligkeit CVE-2026-41096 im Windows DNS Client ermöglicht Remote Code Execution (RCE) und hat eine Bewertung von 9.8 auf der CVSS-Skala.

Eine weitere kritische Lücke, CVE-2026-41089, betrifft den Windows Netlogon und weist ebenfalls eine Bewertung von 9.8 auf. Zusätzlich sind Schwachstellen in Windows Hyper-V (CVE-2026-40402) und in der Grafikkomponente (CVE-2026-40403) als kritisch eingestuft. Beide Lücken ermöglichen RCE und sind noch nicht ausgenutzt worden. Microsoft hat auch 27 Schwachstellen in seinen Office-Produkten behoben, darunter 15 RCE-Lücken, von denen acht als kritisch gelten. Die kritischen Office-Lücken betreffen insbesondere das Vorschaufenster, was bedeutet, dass Benutzer nicht einmal die Datei öffnen müssen, um angegriffen zu werden.

Ein weiteres kritisches Problem betrifft das Team Events Portal mit der ID CVE-2026-33823, das bereits behoben wurde. Auch zwei kritische Datenlecks in M365 Copilot (CVE-2026-26129 und CVE-2026-26164) wurden geschlossen. Ein erheblicher Teil der Schwachstellen, insgesamt 66, betrifft verschiedene Versionen von Windows, einschließlich Windows 10 und 11. Trotz des Auslaufens der Unterstützung für Windows 10 im Oktober 2025 wird das System weiterhin als betroffen aufgeführt. Dies steht im Gegensatz zu Windows 7, dessen Unterstützung unter dem ESU-Programm (Erweiterte Sicherheits-Updates) endete.

Das Sicherheits-Update für den Edge-Browser (Version 148.0.3967.54), das am 7. Mai veröffentlicht wurde, behebt 127 Chromium-Schwachstellen, die nicht in der Gesamtzahl der 120 Lücken enthalten sind. Darüber hinaus schließt das Update drei Edge-spezifische Lücken sowie zwei Schwachstellen in der Android-Version von Edge. Microsoft hat die Updates für alle betroffenen Systeme bereitgestellt und empfiehlt, diese umgehend zu installieren, um die Sicherheit der Nutzer zu gewährleisten.

Die Sicherheitslücken wurden in den letzten Monaten zunehmend entdeckt, was die Notwendigkeit regelmäßiger Updates unterstreicht. Die nächste Gelegenheit zur Überprüfung der Sicherheitslage wird am 14. Mai 2026 beim Hacker-Wettbewerb Pwn2own in Berlin sein. Die Sicherheitslücke CVE-2026-41096 hat eine CVSS-Bewertung von 9.8 und ermöglicht Remote Code Execution im Windows DNS Client.