Microsoft, Apple

Microsoft und Apple: Zehn kritische Lücken aktiv ausgenutzt

13.02.2026 - 07:44:11

US-Cybersicherheitsbehörde stuft zehn Schwachstellen als aktiv ausgenutzt ein. Betroffen sind Millionen Windows-, Office- und Apple-Systeme, sechs Lücken wurden bereits vor Patch-Verlöffentlichung missbraucht.

Microsoft und Apple: Zehn kritische Lücken aktiv ausgenutzt - Foto: über boerse-global.de
Microsoft und Apple: Zehn kritische Lücken aktiv ausgenutzt - Foto: über boerse-global.de

Die US-Cybersicherheitsbehörde CISA hat zehn neue Schwachstellen als aktiv ausgenutzt eingestuft. Betroffen sind Millionen von Systemen mit Windows, Office und Apple-Software. Sechs der Lücken wurden bereits als Zero-Day-Exploits missbraucht, bevor Patches verfügbar waren.

Sechs Zero-Day-Lücken bei Microsoft

Im Fokus steht der Februar-„Patch Tuesday“ von Microsoft, der Updates für rund 60 Schwachstellen brachte. Besonders brisant: Sechs dieser Lücken wurden bereits vor der Veröffentlichung der Patches von Angreifern ausgenutzt.

  • CVE-2026-21510: Diese kritische Lücke umgeht Sicherheitsmechanismen in der Windows Shell. Nutzer könnten so durch manipulierte Links dazu gebracht werden, Schadcode auszuführen – ohne die üblichen Warnungen.
  • CVE-2026-21513 & CVE-2026-21514: Weitere schwerwiegende Lücken betreffen das MSHTML-Framework und Office-Dokumente.
  • CVE-2026-21533: Diese Schwachstelle in den Windows Remote Desktop Services ermöglicht Angreifern, bereits erlangte Zugriffsrechte bis auf Systemebene auszuweiten.

Die CISA hat alle sechs Lücken in ihren Katalog bekannter, ausgenutzter Schwachstellen (KEV) aufgenommen und drängt zum sofortigen Einspielen der Patches.

Apple und weitere Software im Visier

Das Risiko ist plattformübergreifend. Die CISA listet auch eine aktiv ausgenutzte Pufferüberlauf-Schwachstelle in Apple-Systemen (CVE-2026-20700). Die Warnliste umfasst zudem verbreitete Unternehmensanwendungen:

  • Microsoft Configuration Manager (CVE-2024-43468)
  • Notepad++ (CVE-2025-15556)
  • SolarWinds Web Help Desk (CVE-2025-40536)

Die Aufnahme in den KEV-Katalog bedeutet: Für diese Lücken liegen konkrete Beweise für aktive Angriffe vor – das Risiko ist unmittelbar.

Warum Zero-Day-Lücken so gefährlich sind

Die Häufung solcher Schwachstellen verkürzt das Zeitfenster für Reaktionen dramatisch. Hersteller müssen schneller patchen, Administratoren sofort reagieren. Besonders tückisch sind Lücken, die Sicherheitsfunktionen umgehen. Sie hebeln etablierte Verteidigungsmechanismen aus und machen es Angreifern leichter, Nutzer zu täuschen.

Das Problem betrifft nicht nur PCs. Über eine Milliarde Android-Geräte erhält laut Schätzungen keine Sicherheitsupdates mehr und bleibt dauerhaft verwundbar.

Anzeige

Auch Ihr Smartphone kann Einfallstor für Angreifer sein. Ein kostenloses Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Android – mit leicht verständlichen Schritt‑für‑Schritt‑Anleitungen für WhatsApp, Online‑Banking und App‑Berechtigungen. Gratis-Sicherheitspaket für Android sichern

Was jetzt zu tun ist

IT-Verantwortliche sollten die Patches von Microsoft und anderen betroffenen Herstellern priorisieren und umgehend installieren. Privatanwender müssen sicherstellen, dass automatische Updates für Windows, Office und Apple-Software aktiviert sind.

Experten raten zu erhöhter Wachsamkeit: Unerwartete E-Mails, Nachrichten oder Dateianhänge – auch von bekannten Absendern – bergen ein Risiko. Diese sind oft der Einstieg für Angriffe, die die aktuellen Lücken ausnutzen.

@ boerse-global.de

Hol dir den Wissensvorsprung der Profis. Seit 2005 liefert der Börsenbrief trading-notes verlässliche Trading-Empfehlungen – dreimal die Woche, direkt in dein Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr.
Jetzt anmelden.