Patchday Microsoft: Kritische DNS-Client-Lücke bedroht Windows

Von Microsoft als „kritisch“ eingestufte Sicherheitslücken bedrohen unter anderem Azure, M365, Office, SharePoint, Windows und Word. In vielen Fällen können Angreifer Schadcode auf Computer schieben und so Systeme vollständig kompromittieren.

Admins sollten sicherstellen, dass die Windows-Update-Funktion aktiv ist und Systeme auf dem aktuellen Stand sind. Andernfalls sind PCs verwundbar. Bislang gibt es keine Berichte, dass Angreifer bereits Schwachstellen ausnutzen.

Kritische Lücken

Am bedrohlichsten gilt eine „kritische“ Lücke (CVE-2026-42826) mit dem höchstmöglichen CVSS Score 10 von 10 in Azure DevOps. An dieser Stelle können Angreifer auf einem nicht näher ausgeführten Weg auf eigentlich geschützte Informationen zugreifen. Microsoft gibt an, die Schwachstelle serverseitig gepatcht zu haben. Admins müssen an dieser Stelle also nichts tun.

Weitere „kritische“ Schwachstellen betreffen unter anderem Azure Managed Instance for Apache Cassandra (CVE-2026-33109), Microsoft Dynamics 365 On-Premises (CVE-2026-42898) und den DNS-Client in Windows (CVE-2026-41096). Im letztgenannten Fall können entfernte Angreifer ohne Authentifizierung über eine präparierte DNS-Anfrage Speicherfehler auslösen, sodass Schadcode auf Computer gelangt. Davon sind verschiedene Windows-11- und Server-Ausgaben betroffen.

Sicherheitslücken aufspüren

An diesem Patchday hat Microsoft insgesamt knapp 140 Sicherheitsprobleme gelöst. In einem Beitrag gibt das Unternehmen an, dass ein Großteil der Schwachstellen mithilfe mehrerer KI-Agenten entdeckt wurde.

Weiterführende Informationen zu den Schwachstellen und bedrohter Software findet man in Microsofts Security Update Guide.

(des)