Microsoft hat am 13. Januar 2026 Sicherheitsupdates für Windows-Clients und -Server, für Office – sowie für weitere Produkte – veröffentlicht. Die Sicherheitsupdates beseitigen 113 Schwachstellen (CVEs), 8 kritisch, zwei davon wurden als 0-day klassifiziert und eine wird ausgenutzt. Nachfolgend findet sich ein kompakter Überblick über diese Updates, die zum Patchday freigegeben wurden.
Hinweise zu den Updates
Eine Liste der Updates finden Sie auf dieser Microsoft-Seite. Details zu den Update-Paketen für Windows, Office etc. sind in separaten Blogbeiträgen verfügbar.
Windows 10/11, Windows Server
Alle Windows 10/11-Updates (sowie die Updates der Server-Pendants) sind kumulativ. Das monatliche Patchday-Update enthält alle Sicherheitsfixes für diese Windows-Versionen – sowie alle nicht sicherheitsbezogenen Fixes bis zum Patchday. Zusätzlich zu den Sicherheitspatches für die Schwachstellen enthalten die Updates auch Fixes zur Behebung von Fehlern oder Neuerungen.
Im Oktober 2025 ist Windows 10 22H2 aus dem Support gefallen. Sicherheitsupdates gibt es nur noch für Nutzer einer ESU-Lizenz.
Windows Server 2012 R2
Für Windows Server 2012 /R2 ist eine ESU-Lizenz zum Bezug weiterer Sicherheitsupdates erforderlich (Windows Server 2012/R2 bekommt Extended Sicherheitsupdates (ESU) bis Oktober 2026).
Zum 13. Januar 2026 erhält Windows Server 2008 letztmalig Updates im erweiterten Update-Programm.
Gefixte Schwachstellen
Bei Tenable gibt es diesen Blog-Beitrag mit einer Übersicht der gefixten Schwachstellen. Hier einige der kritischen Schwachstellen, die beseitigt wurden:
- CVE-2026-20805: Desktop Window Manager Information Disclosure-Schwachstelle, CVSSv3 Score 5.5, Important; Eine erfolgreiche Ausnutzung ermöglicht einem authentifizierten Angreifer den Zugriff auf sensible Daten. Laut Microsoft wurde diese Sicherheitslücke in freier Wildbahn als Zero-Day-Exploit ausgenutzt.
- CVE-2026-20871: Desktop Window Manager Information Disclosure-Schwachstelle, CVSSv3 Score 7.8, Important; Es ist eine Execution of Privilege (EoP)-Sicherheitslücke.
- CVE-2026-21265 : Secure Boot Certificate Expiration Security Feature Bypass-Schwachstelle, CVSSv3 Score 6.4, Important;
- CVE-2026-20952, CVE-2026-20953: Microsoft Office Remote Code Execution-Schwachstelle, CVSSv3 Score 8.4, Critical; Ein Angreifer könnte diese Schwachstellen durch Social Engineering ausnutzen, indem er die bösartige Microsoft Office-Dokumentdatei an ein bestimmtes Ziel sendet. Eine erfolgreiche Ausnutzung würde dem Angreifer Codeausführungsrechte gewähren. Das Vorschaufenster ist ein Angriffsvektor für beide Schwachstellen.
- CVE-2026-20840, CVE-2026-20922: Windows NTFS Remote Code Execution-Schwachstelle, CVSSv3 Score 7.8, Important; Microsoft stufte beide Schwachstellen als „Exploitation More Likely" (Ausnutzung sehr wahrscheinlich) ein. Laut Microsoft sind beide Schwachstellen auf heap-basierte Pufferüberläufe zurückzuführen, die ausgenutzt werden können, um beliebigen Code auf einem betroffenen System auszuführen. In beiden Sicherheitshinweisen wird außerdem darauf hingewiesen, dass jeder authentifizierte Angreifer diese Schwachstellen ausnutzen kann, unabhängig von seiner Berechtigungsstufe.
Eine Liste aller aufgedeckten CVEs finden Sie auf dieser Microsoft-Seite, Auszüge sind bei Tenable abrufbar. Bei Talos sind einige zusätzliche Schwachstellen abrufbar.
Ähnliche Artikel:
Microsoft Security Update Summary (13. Januar 2026)
Patchday: Windows 10/11 Updates (13. Januar 2026)
Patchday: Windows Server-Updates (13. Januar 2026)
Patchday: Microsoft Office Updates (13. Januar 2026)
MVP: 2013 – 2016
