Microsoft: Rekord-Sicherheitsupdate mit 200+ Schwachstellen
11.06.2026 - 16:24:45 | boerse-global.de
Der Softwarekonzern Microsoft hat am Dienstag dieser Woche die größte Sicherheitsaktualisierung seiner Geschichte veröffentlicht. Mit zwischen 200 und 208 geschlossenen Schwachstellen übertraf der Juni-Patch-Tuesday den bisherigen Rekord von rund 170 Lücken aus dem Oktober 2025.
IT-Sicherheit stärken ohne teure Investitionen: So schützen clevere Unternehmer ihre Firma vor Cyberangriffen. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Gratis-E-Book: Cyber Security Bedrohungen abwenden
KI beschleunigt die Fehlersuche
Sicherheitsexperten sehen in der Rekordzahl einen grundlegenden Wandel in der Schwachstellenforschung. Analysten der Zero Day Initiative und von Trend Micro beobachten, dass der Einsatz künstlicher Intelligenz in Sicherheitstests die Entdeckung von Softwarefehlern massiv beschleunigt. Das dürfte die Update-Zyklen auf absehbare Zeit prägen.
Kritische Lücken und Zero-Day-Schwachstellen
Mindestens 32 der geschlossenen Sicherheitslücken stuft Microsoft als kritisch ein – mehrere davon mit einem CVSS-Schweregrad von 9,8. Besonders brisant ist CVE-2026-45657: Eine Schwachstelle im Windows-Kernel-TCP/IP-Stack, die als „wurmartig" beschrieben wird. Das bedeutet: Schadsoftware könnte sich ohne Benutzereingriff zwischen Systemen ausbreiten.
Das Update schließt zudem mehrere Zero-Day-Lücken, die bereits vor der Veröffentlichung eines Patches öffentlich bekannt waren. Dazu zählt CVE-2026-49160 – eine Denial-of-Service-Lücke in HTTP.sys, die als „HTTP/2-Bomb" bezeichnet wird und angeblich von OpenAI Codex entdeckt wurde. Weitere bekannte Schwachstellen betreffen eine Rechteausweitung in der CTFMON-Komponente (CVE-2026-45586) sowie eine Umgehung des BitLocker-Schutzes (CVE-2026-50507).
Während viele dieser Zero-Days zum Zeitpunkt der Veröffentlichung noch nicht aktiv ausgenutzt wurden, bestätigte Microsoft mindestens einen Fall von aktiver Ausbeutung: CVE-2026-41091, eine Rechteausweitung in Microsoft Defender, war bereits von Angreifern ins Visier genommen worden – nach einem separaten Notfall-Update im Mai.
Streit mit Sicherheitsforschern eskaliert
Die Juni-Updates fallen in einen angespannten Konflikt zwischen Microsoft und dem Forscher „Nightmare Eclipse". Der Forscher war für die Entdeckung der nun geschlossenen „GreenPlasma"- und „YellowKey"-Lücken verantwortlich. Doch kurz nach der Veröffentlichung der Patches legte er einen Proof-of-Concept-Exploit für eine neue Defender-Lücke namens „RoguePlanet" vor.
Der Exploit soll SYSTEM-Rechte auf vollständig gepatchten Windows-10- und Windows-11-Systemen ermöglichen. Der Forscher begründet die Veröffentlichung als Protest gegen Microsofts Bug-Bounty-Programm. Sicherheitsfirmen haben die Echtheit des Exploits bestätigt, Microsoft prüft den Vorfall. Der Forscher kündigte an, möglicherweise Mitte Juli weitere Details zu veröffentlichen.
Windows 11 macht Probleme? Diese 5 Fehler können Sie ab sofort selbst beheben. Erfahren Sie in diesem kostenlosen PDF-Report von IT-Experte Manfred Kratzl, wie Sie Update-Fehler und Systemprobleme in Minuten ohne teure Fachhilfe lösen. Kostenlosen Erste-Hilfe-Report für Windows 11 herunterladen
Auswirkungen auf die gesamte Softwarelandschaft
Die Rekordzahl an Patches betrifft weit mehr als nur Windows. Der Juni-Update-Zyklus umfasst über 50 Korrekturen für Microsoft Office sowie mehrere für Exchange Server – darunter CVE-2026-42897, eine aktiv ausgenutzte Spoofing-Schwachstelle.
Auch die Branche insgesamt war in dieser Phase ungewöhnlich aktiv. Im Chromium-Projekt wurden über 300 Schwachstellen behoben, was den Edge-Browser betrifft. Adobe und Google legten ebenfalls umfangreiche Sicherheitsupdates vor – Google schloss hunderte Lücken in Chrome.
„Patch-Apokalypse" für Administratoren
Sicherheitsadministratoren stehen vor einem immer anspruchsvolleren Wartungsplan. Experten von Ivanti sprechen bereits von einer „Patch-Apokalypse": Die Zahl der von Microsoft im Jahr 2026 bisher behandelten CVEs übersteige bereits die Gesamtzahl des gesamten Jahres 2018. Der nächste große Update-Zyklus ist für den 14. Juli 2026 angesetzt.
