Microsoft-Notfall: 206 Sicherheitslücken in 24 Stunden geschlossen
12.06.2026 - 12:56:06 | boerse-global.de
Der Software-Riese veröffentlicht Notfall-Updates gegen gefährliche Angriffspunkte in seinen Büro-Anwendungen. Besonders Outlook-Nutzer sind betroffen.
Microsoft hat am heutigen Freitag dringende Sicherheitsupdates für Microsoft Outlook und Word bereitgestellt. Die Patches schließen drei als kritisch eingestufte Schwachstellen, die es Angreifern ermöglichen, aus der Ferne Schadcode auszuführen – ohne dass das Opfer überhaupt eine Datei öffnen muss.
Wissen Sie, wo Outlook Ihre Daten wirklich speichert – und wie Sie sie sichern? Ein kostenloser Experten-Ratgeber enthüllt die wichtigsten Einstellungen, PST-Dateien und Registry-Tricks, die kaum ein Nutzer kennt. Kostenlosen Outlook-Ratgeber jetzt sichern
Gefahr lauert in der Vorschau
Die Sicherheitslücken mit den Kennungen CVE-2026-45456, CVE-2026-45458 und CVE-2026-47635 betreffen die Word-Rendering-Engine. Diese Komponente wird auch von Outlook Classic genutzt, um E-Mail-Inhalte darzustellen. Das fatale Detail: Ein Angriff kann bereits über das Vorschaufenster der E-Mail-Software erfolgen. Wer eine präparierte Nachricht nur markiert, riskiert die Ausführung von Schadcode.
Betroffen sind unter anderem Microsoft Office LTSC 2024 sowie aktuelle Versionen von Word und Outlook für 32-Bit- und 64-Bit-Systeme. Die Schwachstellen erhielten einen CVSS-Score von 8,4 – die zweithöchste Risikostufe.
Rekordverdächtiger Patch-Tag
Die heutigen Updates sind Teil einer beispiellosen Sicherheitsoffensive. Bereits am Dienstag dieser Woche hatte Microsoft mit 206 behobenen Sicherheitslücken einen neuen Rekord aufgestellt – so viele Patches an einem einzigen Tag gab es seit Einführung des Patch-Dienstags im Jahr 2003 noch nie.
Rund 38 der Schwachstellen wurden als kritisch eingestuft. Die Verteilung liest sich wie ein Who-is-Who der Microsoft-Produkte:
- Windows-Betriebssystem: 118 Fehler behoben, darunter 19 kritische RCE-Lücken
- Microsoft Office: 54 Schwachstellen geschlossen, neun davon kritisch
- Microsoft Edge: 74 Chromium-basierte Sicherheitslücken gestopft
- Exchange Server: Acht Fehler identifiziert und repariert
Wurm-Gefahr und bereits aktive Angriffe
Besonders brisant: Unter den am Dienstag geschlossenen Lücken befand sich CVE-2026-45657 – eine „wurmfähige" Schwachstelle im Windows-Kernel-TCP/IP-Stack mit einem CVSS-Score von 9,8. Angreifer könnten diese Lücke ohne Benutzerinteraktion oder Authentifizierung ausnutzen.
Die Updates adressieren zudem mehrere Schwachstellen, die bereits aktiv ausgenutzt werden. Im Fokus der IT-Administratoren steht CVE-2026-41091, ein Fehler in Microsoft Defender, der Angreifern Systemrechte verschaffte. Der Patch wurde automatisch über das Defender-Update verteilt.
Über 40.000 Nutzer schwören bereits auf diesen gratis Ratgeber für eine reibungslose E-Mail-Nutzung und sicherere Kontoeinstellungen. Erfahren Sie in diesem Spezialkurs, wie Sie Outlook wie ein Profi beherrschen und Ihre täglichen Workflows optimieren. Gratis Outlook-Spezialkurs herunterladen
Eine weitere kritische Lücke betrifft Exchange Server: Die als CVE-2026-42897 geführte Zero-Day-Sicherheitslücke im Outlook Web Access erlaubte Angreifern die Ausführung von JavaScript-Code. Die US-Sicherheitsbehörde CISA hatte die Schwachstelle bereits Mitte Mai in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen.
KI als zweischneidiges Schwert
Sicherheitsexperten führen die Rekordzahl der gefundenen Lücken teilweise auf den Einsatz KI-gestützter Sicherheitsforschung zurück. Tools wie OpenAI's Codex helfen dabei, Code auf Schwachstellen zu durchforsten – ein Segen für die Sicherheit, aber auch ein Zeichen dafür, wie komplex die Softwarelandschaft geworden ist.
Für Unternehmen und Privatanwender gilt: Die Updates sollten umgehend installiert werden. Besonders Exchange-Server und die Büroanwendungen stehen im Visier von Angreifern. Microsoft empfiehlt, die automatischen Updates zu aktivieren und keine manuellen Verzögerungen in Kauf zu nehmen.
