Microsoft Patchday: 282 Sicherheitslücken in Rekordzeit geschlossen
12.06.2026 - 03:45:47 | boerse-global.de
Juni einen Rekord-Patchday ausgerollt. Noch nie seit Einführung des regelmäßigen Update-Zyklus im Oktober 2003 wurden so viele Sicherheitslücken auf einmal geschlossen. Der bisherige Höchstwert von 175 behobenen Schwachstellen aus dem Oktober 2025 wurde damit deutlich übertroffen.
Das Juni-Update adressiert 38 als kritisch eingestufte Sicherheitslücken, von denen knapp 30 eine Remotecodeausführung (RCE) ermöglichen. Sicherheitsexperten sehen in der schieren Menge einen Beleg für die beschleunigte Fehlererkennung – nicht zuletzt durch den zunehmenden Einsatz von Künstlicher Intelligenz in der Sicherheitsforschung.
Wormable-Lücken und kritische Systemfehler
Anzeige: Der Rekord-Patchday mit 282 Lücken und 38 kritischen Schwachstellen erfordert sofortiges Handeln – insbesondere die wormable CVE-2026-45657 im TCP/IP-Stack. Unser kostenloser Notfall-Plan zeigt Ihnen, wie Sie die Patches priorisieren und Ihre Systeme in 2026 absichern. Jetzt kostenlosen Notfall-Plan anfordern
Besonders brisant ist die Schwachstelle CVE-2026-45657 im TCP/IP-Stack des Windows-Kernels. Mit einem CVSS-Score von 9,8 gilt sie als „wormable" – Schadsoftware könnte sich ohne Benutzereingriff zwischen Systemen ausbreiten. Ebenfalls höchste Priorität haben die Patches für CVE-2026-47291 (http.sys) und CVE-2026-44815 (DHCP-Client). Beide erreichen ebenfalls einen CVSS-Wert von 9,8 und erlauben eine netzwerkbasierte Ausnutzung ohne Authentifizierung.
Auch Microsoft Exchange Server, Office und Hyper-V stehen im Fokus. Allein in der Office-Suite wurden 54 Fehler behoben, davon 25 mit RCE-Potenzial. Im Edge-Browser schloss Microsoft zudem 74 Chromium-bedingte Sicherheitslücken.
Der Forscher-Konflikt eskaliert
Dem Patchday vorausgegangen war ein öffentlicher Streit zwischen Microsoft und dem unabhängigen Sicherheitsforscher Nightmare Eclipse. Aus Protest gegen das Microsoft Security Response Center (MSRC) hatte der Forscher zuvor mehrere Zero-Day-Lücken veröffentlicht.
Drei dieser öffentlich gemachten Schwachstellen wurden nun geschlossen: YellowKey (CVE-2026-45585), GreenPlasma (CVE-2026-45586) und MiniPlasma (CVE-2020-17103). YellowKey erlaubte es Angreifern mit physischem Zugriff, die BitLocker-Verschlüsselung auf Windows 11 sowie Server 2022/2025 zu umgehen.
Doch die Ruhe währte nicht lange. Kaum waren die Patches veröffentlicht, präsentierte Nightmare Eclipse eine neue Zero-Day-Lücke namens RoguePlanet. Sie soll durch eine Race-Condition in Microsoft Defender SYSTEM-Rechte auf Windows 10 und 11 ermöglichen. Microsoft reagierte mit einem Defender-Update (Version 1.453.20.0), doch die Erkennungsraten sind Berichten zufolge noch unzureichend.
KI entdeckt erste Schwachstelle
Der Juni-Patchday markiert eine Premiere: Erstmals wurde ein Fehler in einem Microsoft-Update von einem KI-Tool gemeldet. OpenAI Codex identifizierte CVE-2026-49160, eine Denial-of-Service-Lücke namens „HTTP/2 Bomb", mit der nicht authentifizierte Angreifer Server zum Absturz bringen können.
Mehrere Schwachstellen wurden bereits aktiv ausgenutzt, bevor die Patches erschienen. Dazu gehören CVE-2026-42897 (Spoofing-Lücke in Exchange Server) und CVE-2026-41091 (Rechteausweitung in Microsoft Defender). Letztere war bereits Anfang des Jahres von der US-Cybersicherheitsbehörde CISA identifiziert worden.
Anzeige: Bereits drei Zero-Day-Lücken wurden vor dem Patchday aktiv ausgenutzt – darunter eine Spoofing-Lücke in Exchange Server. Wer jetzt nicht handelt, riskiert einen Systemkompromiss. Unser Leitfaden liefert Sofortmaßnahmen gegen die aktuellen Bedrohungen. Sofortmaßnahmen gegen Zero-Day-Exploits sichern
Auch SAP und Adobe patchen
Nicht nur Microsoft war aktiv: SAP schloss vier kritische Sicherheitslücken, darunter einen Fehler in ABAP mit CVSS 9,8. Adobe veröffentlichte Patches für 123 Schwachstellen – zwei kritische Lücken in Campaign Classic erhielten sogar die Höchstbewertung von CVSS 10.
Für Windows-11-Nutzer bringt das Juni-Update (KB5094126) neben den Sicherheitsfixes auch funktionale Verbesserungen: ein Profil mit niedriger Latenz für das Startmenü, beschleunigte Windows-Store-Downloads und neue Überwachungsfunktionen für Neuronale Verarbeitungseinheiten (NPUs).
