Microsoft-Patchday: 206 Schwachstellen behoben, 39 kritisch
14.06.2026 - 15:07:27 | boerse-global.de
206 Schwachstellen wurden behoben, darunter 39 als kritisch eingestufte Lücken. Besonders alarmierend: Drei der Sicherheitslücken lassen sich allein durch die Vorschaufunktion von Outlook und Word ausnutzen – ohne dass ein Nutzer eine Datei öffnen muss.
Kritische Lücken in Windows und Office
Zu den gefährlichsten Schwachstellen zählt CVE-2026-45657, eine Sicherheitslücke im Windows-Kernel mit einem CVSS-Score von 9,8 – der höchsten Bewertungsstufe. Ebenfalls kritisch sind die RCE-Lücken in HTTP.sys (CVE-2026-47291) und im DHCP-Client (CVE-2026-44815). Alle drei könnten von Angreifern genutzt werden, um Schadcode aus der Ferne auszuführen.
Anzeige: Der Juni-Patchday ist der umfangreichste in der Firmengeschichte – 206 Schwachstellen, 39 kritisch, drei allein über die Vorschaufunktion von Outlook und Word ausnutzbar. Wer seine Systeme jetzt nicht priorisiert, riskiert Zero-Click-Exploits. Dieser Report liefert die dringend benötigte Priorisierungs-Checkliste und konkrete Schutzmaßnahmen. Jetzt kostenlosen Sicherheits-Report anfordern
Die drei Office-Lücken CVE-2026-45456, CVE-2026-45458 und CVE-2026-47635 sind besonders tückisch: Sie lassen sich bereits über das Vorschaufenster aktivieren. „Das macht sie zu einer unmittelbaren Gefahr für Unternehmen“, warnt ein Sprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI). IT-Verantwortliche sollten diese Patches priorisieren.
Zero-Day-Lücken und BitLocker-Knacke
Drei öffentlich bekannte Zero-Day-Schwachstellen wurden ebenfalls geschlossen. Dazu gehören „GreenPlasma“ (CVE-2026-45586), eine Rechteausweitung in CTFMON, sowie eine Denial-of-Service-Lücke in HTTP.sys (CVE-2026-49160). Auch die BitLocker-Umgehung „bitskrieg“ (CVE-2026-50507) wurde behoben.
Eine zweite BitLocker-Lücke namens „YellowKey“ (CVE-2026-45585) war nach der Veröffentlichung eines Proof-of-Concept-Codes bekannt geworden. Zudem lieferte Microsoft eine verbesserte Korrektur für „MiniPlasma“ nach – eine Lücke aus dem Jahr 2020, deren erster Patch unvollständig war.
Angriff auf Entwickler-Repositories
Der Rekord-Patch folgt auf einen Sicherheitsvorfall Anfang Juni. Damals hatten Angreifer 73 GitHub-Repositories von Microsoft kompromittiert, darunter Azure, Azure-Samples und MicrosoftDocs. Die als „Miasma“ bekannte Kampagne zielte gezielt auf KI-Entwickler ab.
Die Angreifer injizierten Schadcode in Tools wie Claude Code, VS Code und Cursor. Der Code sollte Anmeldedaten von Entwickler-Workstations und CI/CD-Umgebungen stehlen. Microsoft sperrte den Zugriff und stellte alle 73 Repositories bis zum 5. Juni wieder her. Entwickler, die in der ersten Juniwoche mit den betroffenen Repositories gearbeitet haben, sollten ihre Zugangsdaten wechseln.
Anzeige: Die BitLocker-Umgehung 'bitskrieg' und die Zero-Day-Lücke 'YellowKey' sind bereits öffentlich bekannt – Proof-of-Concept-Code zirkuliert. Unternehmen, die ihre BitLocker-Verschlüsselung nicht sofort absichern, riskieren Datenlecks. Dieser 5-Schritte-Plan zeigt, wie Sie Ihre Systeme in kürzester Zeit härten. BitLocker-Absicherungsplan jetzt sichern
Windows 10 wird teurer
Parallel zu den Sicherheitsupdates treibt Microsoft den Wechsel zu Windows 11 voran. Die Kosten für Extended Security Updates (ESU) für Windows 10 steigen drastisch: Für Unternehmen verdoppeln sie sich jährlich über drei Jahre. Privatnutzer können eine einmalige Gebühr für Support bis Oktober 2026 zahlen.
Das Problem: Schätzungen zufolge erfüllen zwischen 240 und 400 Millionen PCs nicht die Hardware-Anforderungen für Windows 11. Browser-Hersteller haben angekündigt, den Support für Windows 10 Ende 2026 einzustellen. Der Druck auf Unternehmen und Privatanwender, ihre Hardware zu modernisieren, wächst damit massiv.
