Am Patchday im Juni stuft Microsoft zahlreiche Sicherheitslücken in etwa Azure, M365, Exchange Online, Office und Windows als „kritisch“ ein. In vielen Fällen können Angreifer aus der Ferne ohne Authentifizierung Schadcode ausführen und Systeme vollständig kompromittieren.

Ein Zero Day nach dem anderen

Unter den nun geschlossenen Schwachstellen finden sich auch die BitLocker-Zero-Day-Lücken YellowKey (CVE-2026-45585 „mittel“) und GreenPlasma (CVE-2026-50507 „mittel“), die ein Sicherheitsforscher mit dem Pseudonym Nightmare Eclipse offengelegt hat. Nutzen Angreifer diese Lücken erfolgreich aus, können sie die BitLocker-Festplattenverschlüsselung umgehen.

Der Forscher hat aber noch mehr Zero Days in petto und legte direkt nach dem Patchday die RoguePlanet getaufte Schwachstelle in seinem Blog offen. Diese Lücke bedrohe Windows 10 und 11 im voll gepatchten Zustand. Ansatzpunkt ist erneut die Schutzsoftware Defender. Nach einer erfolgreichen Attacke sollen Angreifer mit Systemrechten dastehen.

Microsoft reagierte zügig auf die neue Bedrohung: Mit dem am Morgen des 10. Juni erschienenen Definitionsupdate 1.453.20.0 für Defender rüstet der Konzern eine Erkennung für RoguePlanet nach und verschiebt den Exploit in die Quarantäne. Die Erkennung ist unseren Experimenten zufolge jedoch allenfalls rudimentär: Mit einer trivialen Änderung im Quelltext des Proof-of-Concept-Exploits lässt sie sich in kürzester Zeit umgehen und erneut eine Shell mit Systemrechten ausführen.

Bislang gibt es keine Hinweise darauf, dass Angreifer die Schwachstelle bereits ausnutzen. Der anonyme Sicherheitsforscher hat eigenen Angaben zufolge noch weitere Zero Days in petto, die er eigentlich am 14. Juli veröffentlichen wollte. Weil er mit RoguePlanet zu viel zu tun hatte, verschiebt sich das jetzt aber. Einen konkreten Zeitraum nennt er derzeit nicht.

Weitere Gefahren

Offensichtlich war ein Fix für die bereits attackierte RedSun-Lücke (CVE-2026-41091 „hoch“) in der Malware Protection Engine von Defender nicht ausreichend, sodass Microsoft Ende Mai noch einmal eine Aktualisierung nachgelegt hat. In den Standardeinstellungen aktualisiert sich Defender automatisch. Die Korrektur listet Microsoft nun als zum Juni-Patchday gehörend auf.

Drei Schwachstellen in Windows (CVE-2026-49160 „hoch“, CVE-2026-50507 „mittel“, CVE-2026-45586 „hoch“) in HTTP.sys, BitLocker und Collaborative Translation Framework sind öffentlich bekannt und es können Attacken bevorstehen.

Drei „kritische“ Lücken bedrohen den Windows Kernel (CVE-2026-45657), Windows HTTP.sys (CVE-2026-47291) und Windows DHCP Client Service (CVE-2026-44815). An diesen Stellen können Angreifer Schadcode ausführen und Computer vollständig kompromittieren.

Weiterführende Informationen zu den an diesem Patchday geschlossenen Sicherheitslücken finden sich in Microsofts Security Update Guide.

(des)

An diesem Patchday gelten zwei „kritische“ Sicherheitslücken mit Höchstwertung in Adobe Campaign Classic als am gefährlichsten. Darüber kann Schadcode auf PCs gelangen und Systeme vollständig kompromittieren. Sicherheitsupdates stehen zum Download bereit. Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen.

Mehrere Gefahren

Wie aus einer Warnmeldung hervorgeht, weisen die Campaign-Classic-Schwachstellen (CVE-2026-48303, CVE-2026-47938) den maximalen CVSS Score 10 von 10 auf. Wie Schadcode-Attacken im Detail ablaufen könnten, ist bislang nicht bekannt. Davon sind Linux und Windows bedroht. Die Entwickler versichern, die Sicherheitsprobleme in v7: 7.4.3 build 9396 gelöst zu haben.

ColdFusion 2023 und 2025 sind über sechs von Adobe als „kritisch“ eingestufte Lücken angreifbar. Davon sind einem Beitrag zufolge alle Plattformen betroffen. So können Angreifer etwa Schadcode ausführen (CVE-2026-47928), Sicherheitsmaßnahmen umgehen (CVE-2026-47932) oder sich höhere Nutzerrechte verschaffen (CVE-2026-47929). Hier schaffen ColdFuison 2023 Update 20 und ColdFusion 2025 Update 9 Abhilfe.

Als „kritisch“ gelten dem Softwarehersteller zufolge auch zwei Schwachstellen (CVE-2026-34691, CVE-2026-34693) in Experience Manager Forms für alle Plattformen. Hier kann in Form von Stored- und Reflected-XSS-Attacken Schadcode auf Systeme gelangen.

Mit 56 Stück hat Adobe die meisten Lücken in Experience Manager geschlossen. Hier helfen die Versionen AEM Cloud Service (CS) Release 2026.05, 6.5 LTS Service Pack 2 und 6.5 Service Pack 25.

Weitere Informationen zu bedrohten und reparierten Versionen finden Admins in den offiziellen Warnmeldungen.

(des)

Im Bund und in den Ländern wird gerade massiv KI-gestützte Überwachungsinfrastruktur aufgebaut. Doch es formiert sich zivilgesellschaftlicher Widerstand. Tom Jennissen und Sebastian Marg arbeiten für die Digitale Gesellschaft, einen der Bündnispartner der Initiative „Sicherheit ohne Überwachung“. Gemeinsam mit beispielsweise der Roten Hilfe und dem Komitee für Grundrechte und Demokratie veranstalten sie am Samstag in Berlin (ab 14 Uhr Warschauer Straße/Marchlewskistraße) eine Demonstration gegen den Ausbau der Polizei-Befugnisse. Im Interview erzählen Jennissen und Marg, wogegen sich die Demonstration konkret wendet, warum uns das alle angeht und ob sich Widerstand überhaupt noch lohnt.

netzpolitik.org: Laut Initiativen-Website wehrt ihr euch gegen die „ausufernden Überwachungsbefugnisse“. Was ist damit gemeint?

Jennissen: Der konkrete Anlass ist das Sicherheitspaket 2.0. Das soll dem BKA, der Bundespolizei, der Staatsanwaltschaft, dem Zoll, sowie dem BAMF umfangreiche neue digitale Befugnisse zuweisen. Dazu gehören der biometrische Abgleich mit Daten aus dem Internet und die umfassende Datenanalyse, also der Einsatz einer Software, wie sie Palantir anbietet. Dazu müssten gigantische Referenzdatenbanken erstellt werden. Außerdem sollen personenbezogene Daten auch zum Training von KIs verwendet werden.

Es ist ein frontaler Angriff auf die Grundrechte, zusammen gedacht so etwas wie die Atombombe unter den Ermittlungsmaßnahmen. Der Bundesrat will dennoch noch weiter gehen und dazu auch noch Echtzeit-Fernidentifizierung mit reinnehmen. Und parallel durchläuft ja gerade das Gesetz zur IP-Vorratsdatenspeicherung das Parlament.

„Das Aus für die Anonymität“

Marg: Dazu kommen die Polizeigesetznovellen in den Ländern, mit denen gerade ebenfalls massiv digitale Überwachungsbefugnisse ausgebaut werden. Einige sind schon durch, andere noch in Arbeit.

netzpolitik.org: Und warum ist das ein Problem?

Jennissen: Weil das extrem invasive Maßnahmen sind. Sollte denen tatsächlich erlaubt werden, das gesamte Internet als Fahndungsdatenbank zu verwenden, dann wäre das das Aus für die Anonymität. Dann kann man sich nicht mehr im öffentlichen Raum bewegen, ohne Gefahr zu laufen, auf einem Foto zu landen, das von der Polizei als Fahndungsmittel genutzt wird. Das ist krass dystopisch.

Und bei der automatisierten Datenanalyse sollen sämtliche Daten zusammengeführt werden. Darunter Daten aus Asservaten beispielsweise, den rund 500.000 Mobiltelefonen, die die Polizei aus irgendwelchen Gründen mal einkassiert hat.

„Eine Chance, das zu verhindern“

netzpolitik.org: Und warum begehrt ihr jetzt dagegen auf – bringt das was?

Jennissen: Es ist nicht so, dass zivilgesellschaftlicher Widerstand nichts bringen würde. Wir haben zum Beispiel im Jahr 2020 die Vorratsdatenspeicherung weitgehend verhindern können. Der neue Anlauf jetzt ist schon deutlich abgespeckt im Vergleich zu dem, der vor 20 Jahren auf dem Tisch lag. Zum Teil werden die Überwachungsmaßnahmen auch von Gerichten kassiert, und die hätten vielleicht anders geurteilt, wenn es den Widerstand, die Aufmerksamkeit nicht gegeben hätte.

Wir wollen eine Diskussion zum Thema in Gang bringen. Bislang werden vor allem die Pressemitteilungen der Bundesregierung abgeschrieben. Welchen Sinn die Maßnahmen haben und welche Ausmaße, darüber gibt es noch keine gesellschaftliche Diskussion. Wenn es mal ein Bewusstsein dafür gibt, was da auf uns zukommt, dann gibt es auch eine Chance, das zu verhindern. Und wenn wir es nicht verhindern können, müssen die Gerichte später zumindest nicht im luftleeren Raum darüber entscheiden.

netzpolitik.org: Ist die Demo in Berlin, weil hier die Bundesregierung sitzt, oder spielt es auch eine Rolle, was in Berlin als Bundesland gerade passiert?

„Die Kämpfe aus verschiedenen Bundesländern zusammenführen“

Jennissen: In Berlin gab es im vergangenen Jahr ein in ziemlich großer Eile durchgepeitschtes neues Sicherheitsgesetz. Da stehen viele neue Befugnisse drin. KI-gestützte Videoüberwachung zum Beispiel. Das wird auf jeden Fall thematisiert. Unsere Vernetzung soll die Kämpfe aus verschiedenen Bundesländern zusammenführen.

netzpolitik.org: Habt ihr Hoffnung, die Welle aufzuhalten?

Jennissen: Ob diese Bundesregierung noch umzustimmen ist, das wird sich zeigen. Realistisch ist, dass wir einige Spitzen rausnehmen. Aber mittelfristig glaube ich schon, dass wir die Welle brechen können.

netzpolitik.org: Die Vernetzung läuft unter dem Slogan „Sicherheit ohne Überwachung“. Wie wollt ihr denn dann Sicherheit herstellen?

Marg: Wir verwenden einen Sicherheitsbegriff, der Sicherheit von der sozialen Perspektive aus denkt. Es geht um die Sicherheit von Wohnraum oder gesellschaftlicher Teilhabe beispielsweise.