Microsoft Juni-Patch: Wurmfähige Kernel-Lücke mit CVSS 9,8

Rund 200 Schwachstellen wurden geschlossen, darunter drei öffentlich bekannte Zero-Day-Lücken und eine aktiv ausgenutzte Sicherheitslücke.

Kritische Lücken mit Höchstbewertungen

Besonders brisant: Eine wurmfähige Schwachstelle im Windows-Kernel (CVE-2026-45657) erhielt die Höchstbewertung von 9,8 auf der CVSS-Skala. Angreifer könnten damit Code aus der Ferne ausführen – und das ohne Benutzerinteraktion. Zwei weitere RCE-Lücken im DHCP-Client (CVE-2026-44815) und in HTTP.sys (CVE-2026-47291) wurden ebenfalls mit 9,8 bewertet.

Anzeige: Der Juni-Patchday schließt rund 200 Schwachstellen – darunter eine wurmfähige Kernel-Lücke mit CVSS 9,8 und aktiv ausgenutzte Defender-Lücken. Ohne klare Priorisierung riskieren Sie, dass Angreifer noch vor dem nächsten Patch-Zyklus SYSTEM-Rechte erlangen. Dieser kostenlose Report liefert eine nach Dringlichkeit sortierte Checkliste und konkrete Härtungsmaßnahmen. Jetzt kostenlosen Patch-Priorisierungs-Report anfordern

Den maximalen Wert von 10,0 erreichte ein Fix für Azure HorizonDB. Weitere kritische Patches betreffen Hyper-V, Active Directory Domain Services und Kerberos KDC. Insgesamt stufen Sicherheitsexperten zwischen 33 und 40 der behobenen Schwachstellen als kritisch ein.

Öffentlich bekannte Zero-Days

Drei Sicherheitslücken waren bereits vor der Veröffentlichung der Patches bekannt – ein gefundenes Fressen für Angreifer. CVE-2026-45586 betrifft eine Rechteausweitung in CTFMON, die es Angreifern ermöglicht, SYSTEM-Rechte zu erlangen.

Die zweite bekannte Lücke, CVE-2026-49160, ist eine Denial-of-Service-Schwachstelle in HTTP.sys. Unter dem Namen „HTTP/2 Bomb“ bekannt, nutzt sie Header-Kompression, um Server-Ressourcen zu überlasten. Microsoft hat ein neues Registry-Setting eingeführt, um das Risiko zu mindern.

Die dritte öffentlich bekannte Zero-Day, CVE-2026-50507, umgeht den BitLocker-Schutz bei Systemen, die nur ein Trusted Platform Module (TPM) zur Authentifizierung nutzen. Sicherheitsforscher bezeichnen die Lücke unter anderem als YellowKey und Bitskrieg.

Aktive Angriffe auf Microsoft Defender

Besonders alarmierend: CVE-2026-41091, eine Rechteausweitung in Microsoft Defender, wird bereits aktiv von Angreifern ausgenutzt. Unternehmen sollten diesen Patch priorisieren.

Rekordvolumen und Legacy-Support

Der Juni-Patchday setzt einen Trend fort: Bereits die Hälfte aller Patch-Tuesday-Zyklen 2026 erreichte dreistellige Schwachstellenzahlen. Inklusive der Chromium-bezogenen Fixes für den Edge-Browser übersteigt die Gesamtzahl der behobenen CVEs in diesem Zyklus sogar 570.

Anzeige: Drei öffentliche Zero-Days und aktive Angriffe auf Microsoft Defender – die Bedrohungslage ist akut. Unternehmen, die ihre Patch-Strategie nicht sofort anpassen, setzen sich unnötigen Risiken aus. Unser Report zeigt, wie Sie die kritischen Kernel- und Defender-Lücken priorisiert schließen und Ihre Systeme absichern. Sofortmaßnahmen-Report jetzt sichern

Für Unternehmen mit Legacy-Systemen hat Microsoft ein erweitertes Sicherheitsupdate für Windows 10 (KB5094127) veröffentlicht. Es enthält die Juni-Fixes und führt neue Überwachungsfunktionen für Secure-Boot-Zertifikatsausrollungen ein. Allerdings gibt es eine bekannte Einschränkung: Bestimmte Gruppenrichtlinien oder Secure-Boot-Konfigurationen können nach der Installation zu einer BitLocker-Wiederherstellungsaufforderung führen.

Auch andere Hersteller patchen

Die Sicherheitslandschaft bleibt angespannt: Cisco schloss eine Schwachstelle mit CVSS 10,0 in seiner Secure-Workload-Plattform. Oracle veröffentlichte sein Mai-Sicherheitsupdate mit 77 behobenen Lücken. Und die US-Cybersicherheitsbehörde CISA setzt den 19. Juni 2026 als Frist für Bundesbehörden, eine aktiv ausgenutzte Lücke in SolarWinds Serv-U zu schließen.

de | wissenschaft | 69511111 |