Datenschutz & Sicherheit
Microsoft-Patchday: Neuer Rekord mit 622 gefixten Schwachstellen
Die Schwemme an Schwachstellenmeldungen macht auch vor Microsoft nicht halt. Die „Vulnocalypse“ nötigt das Unternehmen, am Juli-Patchday gleich 622 Schwachstellen in diversen Produkten aus dem Portfolio zu behandeln. Einige Schwachstellen waren bereits bekannt, andere werden schon im Netz aktiv angegriffen.
Weiterlesen nach der Anzeige
Microsoft liefert einen Überblick über die geschlossenen Schwachstellen am Patchday. Rund 60 der Sicherheitslücken stuft Microsoft als „kritisches“ Sicherheitsrisiko ein. Alleine in Windows haben die Entwickler sich demnach um 416 Schwachstellen gekümmert, darauf folgen Office und Office 2016 mit jeweils geschlossenen 82 Sicherheitslücken. Der Chromium-basierte Webbrowser Edge steuerte weitere 46 Sicherheitslecks zur Statistik bei. An fünfter Stelle findet sich bereits der SharePoint-Server mit 17 neuen CVE-Schwachstelleneinträgen, den es nun härter erwischt hat.
Bereits angegriffene Sicherheitslücken
Angreifer missbrauchen bereits eine fehlende Authentifizierung zur Ausweitung ihrer Rechte in SharePoint – dazu müssen sie zuvor nicht einmal angemeldet sein (CVE-2026-56164, CVSS 5.3, Risiko „mittel“). Davor warnt auch die US-amerikanische IT-Sicherheitsbehörde CISA. Die Behörde hat zudem eine dringende Anleitung veröffentlicht, nach der Admins ihre On-Premises-SharePoint-Server härten und gegen Angriffe schützen sollen. Auch in den Active Directory Federation Services (AD FS) machen sich Angreifer eine unzureichende Zugriffsrechte-Abstufung zunutze, um ihre Rechte in AD-Infrastrukturen auszuweiten (CVE-2026-56155, CVSS 7.8, Risiko „hoch“). Trend Micros Zero Day Initiative (ZDI) empfiehlt die zügige Prüfung und Installation des Patches, da die Lücke mit weiteren Codeschmuggel-Lücken zusammen etwa für Ransomware-Angriffe missbraucht werden kann.
Eine Sicherheitslücke ermöglicht die Umgehung der BitLocker-Verschlüsselung und ist bereits öffentlich bekannt, merkt Microsoft weiter an (CVE-2026-50661). Bereits am Juni-Patchday hatte Microsoft mehrere Defender- und BitLocker-Probleme gelöst, die der IT-Sicherheitsforscher mit dem Handle „Nightmare Eclipse“ zuvor publik gemacht hat. Ohne konkrete Auflistung haben die Microsoft-Entwickler zudem 428 CVE-Einträge für die Chromium-Basis des Edge-Webbrowsers veröffentlicht, die nicht von Microsoft selbst stammen.
IT-Verantwortliche sowie Nutzerinnen und Nutzer von Microsoft-Software sollten die Patches gegebenenfalls in ihren Umgebungen testen und zügig anwenden, um die Angriffsfläche für Cyberkriminelle zu minimieren.
(dmk)