Microsoft-Patchday, Lücken

Microsoft-Patchday: Über 200 Lücken – neuer Negativrekord

11.06.2026 - 13:30:45 | boerse-global.de

Microsoft schließt am Juni-Patchday über 200 Schwachstellen, darunter sechs Zero-Days. KI-gestützte Tools treiben die Fehlererkennung an.

Microsoft Juni-Patchday: Rekord mit über 200 Sicherheitslücken
Microsoft-Patchday - A glowing digital padlock icon over a complex circuit board, symbolizing cybersecurity and numerous software vulnerabilities addressed by a patch. 11.06.2026 - Bild: über boerse-global.de

Microsoft hat am Dienstag seinen monatlichen Sicherheitsupdate-Zyklus veröffentlicht – und einen neuen Negativrekord aufgestellt. Mit über 200 behobenen Schwachstellen übertrifft der Juni-Patchday den bisherigen Höchstwert von rund 170 bis 175 Lücken aus dem Oktober 2025 deutlich. Branchenbeobachter stellen fest: Bereits jetzt hat Microsoft im Jahr 2026 mehr Sicherheitslücken geschlossen als im gesamten Jahr 2018.

Anzeige

Angesichts der Rekordzahl an Sicherheitslücken ist ein stabiles und aktuelles System wichtiger denn je. Dieser kostenlose Report zeigt Ihnen, wie Sie typische Fehler nach Updates vermeiden und Ihr Windows 11 ohne IT-Experten sicher am Laufen halten. Windows-11-Probleme jetzt selbst beheben

Künstliche Intelligenz treibt die Fehlerjagd an

Sicherheitsexperten sehen einen klaren Treiber für diese Entwicklung: Künstliche Intelligenz. „KI-Technologien beschleunigen die Identifizierung von Software-Schwachstellen in einem beispiellosen Tempo", erklärt Dustin Childs von TrendAIs Zero Day Initiative (ZDI). Ein Paradebeispiel ist die Schwachstelle CVE-2026-49160 – ein Denial-of-Service-Fehler im HTTP.sys-System, der unter dem Namen „HTTP/2 Bomb" bekannt wurde. Gemeldet wurde er von OpenAI Codex, einem KI-gestützten Analysewerkzeug.

Satnam Narang von Tenable sieht darin einen trend: „Rund 90 Prozent der Sicherheitsexperten nutzen inzwischen KI. Hohe Patch-Zahlen werden zur neuen Normalität." Chris Goettl von Ivanti spricht von einer „dramatischen Eskalation" im Tempo der erforderlichen Software-Aktualisierungen.

Sechs Zero-Day-Lücken – eine wird aktiv ausgenutzt

Besonders brisant: Der Juni-Patchday schließt sechs Zero-Day-Schwachstellen. Fünf davon waren bereits vor der Veröffentlichung der Patches öffentlich bekannt. Eine davon, CVE-2026-42897, betrifft eine Spoofing-Lücke im Exchange Server und wird bereits aktiv ausgenutzt. Ebenfalls geflickt wurde CVE-2026-41091 – eine Privilegienausweitung in Microsoft Defender, für die es im Mai bereits einen Notfall-Patch gegeben hatte.

Mehrere der öffentlich gemachten Zero-Days gehen auf das Konto eines Forschers mit dem Pseudonym „Nightmare Eclipse". Dazu gehören:

  • CVE-2026-45586 („GreenPlasma"): Eine Rechteausweitung in CTFMON, die Angreifern Systemzugriff ermöglichen könnte.
  • CVE-2026-45585 („YellowKey"): Eine BitLocker-Umgehung, die physischen Zugriff auf ein Gerät erfordert.
  • CVE-2020-17103 („Mini-Plasma"): Ein Privilegienausweitungsfehler im Cloud Files Mini Filter Driver.
Anzeige

Während Microsoft Rekord-Lücken schließt, zögern viele Anwender noch beim Wechsel auf das modernere System. Ein kostenloser Expertenreport zeigt Ihnen, wie der Umstieg auf Windows 11 ohne Risiko und Datenverlust gelingt, um von den neuesten Sicherheitsfeatures zu profitieren. Windows 11 sicher und kostenlos testen

Microsoft hatte offenbar zunächst rechtliche Schritte gegen die unkoordinierte Offenlegung dieser Lücken erwogen, bevor man die Sicherheitsupdates bereitstellte. Und die Probleme reißen nicht ab: Bereits kursiert ein Proof-of-Concept für einen Defender-Exploit namens „RoguePlanet", der Berichten zufolge auch auf vollständig gepatchten Systemen funktioniert.

Kritische Infrastruktur im Fokus

Von den über 200 behobenen Schwachstellen sind mehr als 30 als kritisch eingestuft – viele davon ermöglichen Remote Code Execution (RCE). Besonders alarmierend: CVE-2026-45657, ein Fehler im Windows-Kernel-TCP/IP-Stack. Mit einem CVSS-Score von 9,8 gilt diese Lücke als potenziell „wurmfähig" – sie könnte sich also ohne Benutzereingriff über Netzwerke verbreiten.

Weitere kritische Patches betreffen:

  • Azure HorizonDB: CVE-2026-48567 wurde als maximal schwerwiegend eingestuft.
  • Hyper-V: Mehrere RCE-Lücken geschlossen, darunter CVE-2026-47652.
  • HTTP.sys: Neben dem KI-entdeckten DoS-Fehler wurde auch eine kritische RCE-Lücke (CVE-2026-47291) behoben.
  • Remote Desktop Client: Zahlreiche Fehler korrigiert.

Der Update-Paket enthält zudem über 70 Sicherheitsfixes für den Chromium-basierten Edge-Browser sowie Patches für Secure Boot, Active Directory und Exchange Server. Sicherheitsteams wird empfohlen, die Installation der Patches zu priorisieren – insbesondere für internetverbundene Systeme und mobile Geräte mit BitLocker-Verschlüsselung.

de | wissenschaft | 69520445 |