Patch-Rekord: Microsoft schließt 206 Sicherheitslücken, 30 kritisch
11.06.2026 - 13:09:29 | boerse-global.de
Microsoft hat am 9. Juni 2026 einen neuen Rekord aufgestellt: 206 Sicherheitslücken wurden geschlossen. Gleichzeitig musste Google mit einem Notfall-Update reagieren, und Sicherheitsforscher warnen vor massiven Angriffen auf WordPress-Seiten und Software-Lieferketten. Die Bedrohungslage für IT-Infrastrukturen hat sich in dieser Woche deutlich verschärft.
Microsoft-Patchday: 206 Lücken, 30 davon kritisch
Die Update-Flut vom 9. Juni übertrifft den bisherigen Rekord von 170 Korrekturen aus dem Oktober 2025. Mehr als 30 der geschlossenen Schwachstellen stuften Sicherheitsanalysten als kritisch ein.
Der Rekord-Patchday zeigt deutlich, wie verwundbar Betriebssysteme ohne aktuelle Absicherung sind. Dieser kostenlose Report liefert Ihnen einen klaren Schritt-für-Schritt-Plan, wie Sie sicher auf Windows 11 umsteigen und Ihre Daten effektiv schützen. Stressfrei zu Windows 11 – mit all Ihren Programmen und Dateien
Besonders brisant: Die Lücke CVE-2026-41091 im Microsoft Defender wird bereits aktiv ausgenutzt. Angreifer nutzen sie zur Ausweitung von Privilegien. Drei weitere Remote-Code-Execution-Lücken (RCE) mit einem CVSS-Wert von 9,8 betreffen den Windows-Kernel, den HTTP-Dienst und den DHCP-Client – sie gelten als hochriskant.
Ein Proof-of-Concept-Exploit namens RoguePlanet sorgt zusätzlich für Unruhe. Er nutzt eine weitere Schwachstelle im Microsoft Defender aus – ein Patch dafür existiert noch nicht.
Neben Sicherheitskorrekturen lieferte Microsoft auch funktionale Neuerungen für Windows 11. Dazu gehören ein Low Latency Profile für schnellere App-Starts sowie Erweiterungen für parallele Audioausgabe über Bluetooth.
Google schließt fünften Chrome-Zero-Day
Bereits am 8. Juni veröffentlichte Google ein dringendes Update für Chrome auf Version 149.0.7827.102/.103. Die Zero-Day-Lücke CVE-2026-11645 in der V8-Engine wird aktiv ausgenutzt. Angreifer können durch präparierte Webseiten Schadcode innerhalb der Browser-Sandbox ausführen.
Es ist bereits der fünfte Zero-Day-Vorfall für Chrome in diesem Jahr. Da Microsoft Edge, Opera und andere Browser auf Chromium basieren, haben auch diese Hersteller Sicherheitsaktualisierungen bereitgestellt.
Während Browser-Lücken oft im Fokus stehen, unterschätzen viele Nutzer die Gefahren durch ein veraltetes Betriebssystem auf dem eigenen Rechner. Erfahren Sie im kostenlosen PDF-Report, wie Sie die neuesten Sicherheits-Features von Windows 11 sofort nutzen und Ihr System ohne Risiko aktuell halten. Windows 11 Starterpaket jetzt kostenlos anfordern
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die US-Behörde CISA drängen zur sofortigen Installation. Für US-Bundesbehörden gilt eine Umsetzungsfrist bis zum 23. Juni.
Gefahr für WordPress: 29.000 Angriffe registriert
Außerhalb der regulären Patch-Zyklen warnte Oracle vor einer kritischen Lücke in PeopleSoft Enterprise PeopleTools. Die Schwachstelle CVE-2026-35273 (CVSS 9,8) erlaubt unauthentifizierten Angreifern, über manipulierte HTTP-Pakete Schadcode einzuschleusen. Aktive Angriffe sind zwar nicht bekannt, doch die leichte Ausnutzbarkeit macht ein sofortiges Update ratsam.
Parallel dazu verzeichnen Sicherheitsdienstleister eine massive Angriffswelle auf WordPress-Websites. Eine kritische Lücke im Plugin Everest Forms Pro ermöglicht die Übernahme von Administratoren-Konten. Seit Mitte April wurden mehr als 29.300 Angriffsversuche registriert. Ein Patch ist seit März verfügbar – wurde aber offenbar auf vielen Systemen noch nicht eingespielt.
Shai-Hulud: 471 bösartige Pakete in NPM und PyPI
Sicherheitsforscher dokumentierten Anfang Juni eine umfangreiche Kampagne namens Shai-Hulud. Dabei identifizierten sie 471 bösartige Pakete in den Repositories NPM und PyPI. Die Angreifer der Gruppe TeamPCP nutzen Techniken wie Geofencing und verzögerte Schadcode-Aktivierung, um Entdeckungen zu vermeiden.
Ziel der Kampagne: der Diebstahl von Cloud-Zugangsdaten und GitHub-Tokens. Besonders KI-Entwickler und Cloud-Dienste stehen im Fokus.
Microsoft reagierte auf die wachsende Gefahr durch Supply-Chain-Angriffe mit VS Code 1.123. Eine neue Sicherheitsfunktion verzögert automatische Updates von Drittanbieter-Erweiterungen um zwei Stunden. In dieser Zeit sollen Sicherheits-Communities bösartige Code-Änderungen identifizieren können, bevor sie flächendeckend installiert werden.
Linux-Kernel und HTTP/2: Lücken schlummern in älteren Installationen
Auch im Linux-Umfeld gibt es Sicherheitsrisiken. Forscher veröffentlichten Details zu einer Lücke im Nftables-Subsystem des Kernels (CVE-2026-23111). Ursache: ein fehlerhaft gesetztes Ausrufezeichen im Programmcode. Der Fehler ermöglicht eine Ausweitung von Benutzerrechten auf Root-Niveau.
Ein Patch steht seit Februar 2026 zur Verfügung. In älteren Installationen von Debian oder Ubuntu ist er jedoch unter Umständen noch nicht eingespielt.
Zusätzlich warnten Behörden am 9. Juni vor Risiken in HTTP/2-Implementierungen. Die Schwachstelle CVE-2026-49975 ermöglicht entfernten Angreifern Denial-of-Service-Angriffe auf Webserver wie Apache, NGINX oder Microsoft IIS. Betreiber sollten die Hersteller-Updates umgehend prüfen.
