An diesem Patchday von Microsoft hat das Unternehmen als „kritisch“ eingestufte Sicherheitslücken unter anderem in Azure, M365, Office, SharePoint, Windows und Word geschlossen. Angreifer können in vielen Fällen Schadcode auf Computer schleusen und so Systeme vollständig übernehmen.

Eine „kritische“ Lücke (CVE-2026-42826) mit dem höchstmöglichen CVSS Score 10 von 10 steckt in Azure DevOps. Angreifer können darüber auf einem nicht näher ausgeführten Weg auf eigentlich geschützte Informationen zugreifen. Laut Microsoft wurde diese Schwachstelle serverseitig gepatcht. Daher müssen Admins an dieser Stelle nicht aktiv werden.

Unter anderem in Azure Managed Instance for Apache Cassandra (CVE-2026-33109), in Microsoft Dynamics 365 On-Premises (CVE-2026-42898) und im DNS-Client in Windows (CVE-2026-41096) befinden sich weitere „kritische“ Schwachstellen. Über die DNS-Schwachstelle können entfernte Angreifer ohne Authentifizierung mit einer präparierten DNS-Anfrage Speicherfehler auslösen, sodass Schadcode auf Computer gelangt. Verschiedene Windows-11- und Server-Ausgaben sind davon betroffen.

Insgesamt hat Microsoft an diesem Patchday knapp 140 Sicherheitsprobleme gelöst. Das Unternehmen teilt in einem Beitrag mit, dass ein Großteil der Schwachstellen mithilfe mehrerer KI-Agenten entdeckt wurde.

In Microsofts Security Update Guide stehen weiterführende Informationen zu den Schwachstellen und bedrohter Software bereit.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE