Microsoft und Adobe: Dringende Updates nach über 130 Sicherheitslücken

IT-Teams weltweit müssen sofort handeln: Microsoft und Adobe haben ihre ersten großen Sicherheitsupdates 2026 veröffentlicht und damit über 130 Schwachstellen geschlossen. Besonders brisant: Eine Windows-Lücke wird bereits aktiv ausgenutzt.

Veröffentlicht am Dienstag, den 20. Januar 2026, adressieren die koordinierten Patches kritische Fehler in zentralen Unternehmensanwendungen. Allein Microsoft behebt etwa 114 Sicherheitsprobleme. Die US-Cybersicherheitsbehörde CISA hat eine der Lücken bereits in ihren Katalog bekannter, ausgenutzter Schwachstellen aufgenommen und fordert Bundesbehörden zur Installation bis zum 3. Februar 2026 auf – eine Frist, die auch für die Privatwirtschaft gilt.

Kritische Zero-Day-Lücke in Windows

Im Fokus steht die Schwachstelle CVE-2026-20805 im Windows Desktop Window Manager. Obwohl mit einem mittleren CVSS-Score von 5,5 bewertet, wird sie bereits aktiv in Angriffen genutzt. Die Lücke ermöglicht Angreifern, sensible Speicheradressen auszulesen.

Dieser Informationsdiebstahl ist oft der erste Schritt für komplexere Attacken. Mit den gewonnenen Daten können fundamentale Sicherheitsfunktionen des Betriebssystems wie Address Space Layout Randomization (ASLR) umgangen werden. Das ebnet den Weg für zuverlässigere Folgeangriffe. Die CISA-Direktive unterstreicht das ernste Risiko für Behörden und Unternehmen gleichermaßen.

IT-Verantwortliche stehen jetzt unter Druck: aktive Exploits, RCE‑Lücken in Office und bösartige Browser‑Add‑ons erhöhen das Angriffsrisiko massiv. Ein kostenloses E‑Book für Entscheider und Admins fasst die wichtigsten Sofortmaßnahmen zusammen — Priorisierung von Patches, Checklisten für Patch‑Tests, Konfigurationsempfehlungen für Office‑Suiten und Maßnahmen gegen manipulierte Erweiterungen. Praktisch, schnell umsetzbar und speziell für kleine bis mittelgroße Security‑Teams konzipiert. Kostenloses Cyber‑Security‑E‑Book für IT‑Teams herunterladen

Office-Suite als Einfallstor für Schadcode

Neben der Zero-Day-Lücke schließen die Updates zahlreiche kritische Fehler in den zentralen Produktivitätstools von Microsoft. Behoben werden 22 Remote-Code-Ausführungs-Schwachstellen und 57 Rechteausweitungslücken.

Besonders brisant sind mehrere kritische RCE-Lücken in Microsoft Word und Excel. Angreifer könnten hierüber beliebigen Code auf dem System eines Opfers ausführen. Typischerweise müssten Nutzer dazu eine speziell präparierte, bösartige Datei öffnen – sogar der Vorschaubereich der Anwendungen gilt als potenzieller Angriffsvektor. Angesichts der allgegenwärtigen Office-Dokumente in Unternehmen stellen diese Lücken ein erhebliches und weit verbreitetes Risiko dar.

Adobe schließt 25 Lücken in Creative Cloud

Parallel zu Microsoft veröffentlichte Adobe 11 Sicherheitshinweise und schloss damit 25 Schwachstellen in Produkten wie Dreamweaver, InDesign, Illustrator und Substance 3D. 17 dieser Lücken werden als kritisch eingestuft.

Eine erfolgreiche Ausnutzung der schwerwiegendsten Fehler könnte zu einer Übernahme des betroffenen Systems führen. Weitere mögliche Folgen sind Denial-of-Service-Angriffe auf die Anwendungen oder das Auslesen beliebiger Dateien. Adobe gibt an, von keiner aktiven Ausnutzung der jetzt behobenen Schwachstellen zu wissen. Nutzer sollten ihre Software über den Update-Mechanismus der Creative Cloud aktualisieren.

Immer größere Angriffsfläche für Unternehmen

Dieser massive Patch-Zyklus unterstreicht die anhaltende Bedrohungslage für Unternehmenssoftware. Die hohe Zahl behobener Rechteausweitungslücken bei Microsoft zeigt: Angreifer konzentrieren sich darauf, nach einem ersten Fuß in der Tür tieferen Zugriff zu erlangen. Solche Lücken sind Schlüsselkomponenten für mehrstufige Angriffe, die zu Datendiebstahl, Ransomware oder dauerhaftem Netzwerkzugriff führen können.

Die Herausforderung geht über klassische Software-Schwachstellen hinaus. Erst am 19. Januar 2026 wurde eine Kampagne mit fünf bösartigen Google Chrome-Erweiterungen bekannt, die sich als Produktivitätstools für Plattformen wie Workday tarnten. Diese Erweiterungen sollten Sitzungstoken stehlen und Konten übernehmen. Die Produktivitätslandschaft ist damit selbst ein primäres Ziel – eine doppelte Bedrohung aus internen Fehlern und externer Tarnung.

Priorisierung ist für IT-Teams entscheidend

Angesichts von über hundert neuen Schwachstellen steht die IT-Administration vor der schwierigen Aufgabe der Priorisierung. Die klare Empfehlung von Experten und Behörden: Zuerst die aktiv ausgenutzte Zero-Day-Lücke CVE-2026-20805 schließen. Danach folgen die kritischen RCE-Lücken in Microsoft Office und Adobe-Produkten.

Unternehmen sollten die Updates auf allen betroffenen Systemen umgehend testen und einspielen. Die CISA-Frist vom 3. Februar ist ein wichtiger Richtwert für alle Organisationen. Die Entdeckung der bösartigen Browser-Erweiterungen sollte Sicherheitsteams zudem veranlassen, genehmigte Add-ons zu überprüfen und Mitarbeiter für die Risiken nicht geprüfter Tools zu sensibilisieren. Umfassende Softwaresicherheit erfordert Wachsamkeit gegen interne Schwachstellen und externe Täuschung gleichermaßen.

PS: Übrigens — viele Angriffe starten nicht mit komplizierter Malware, sondern mit Phishing‑Mails oder manipulierten Office‑Dateien. Der Gratis‑Leitfaden enthält eine Anti‑Phishing‑Checkliste, Empfehlungen zur härteren Office‑Konfiguration und praxisnahe Schritte, um bösartige Browser‑Add‑ons zu erkennen und zu blockieren. Ideal für IT‑Leiter, die kurzfristig die Angriffsfläche reduzieren wollen. Gratis‑Leitfaden zur Hacker‑Abwehr jetzt sichern