Microsoft Security Update Summary (13. Januar 2026)

Veröffentlicht am 13. Januar 2026 von Günter Born

UpdateMicrosoft hat am 13. Januar 2026 Sicherheitsupdates für Windows-Clients und -Server, für Office – sowie für weitere Produkte  – veröffentlicht. Die Sicherheitsupdates beseitigen 113 Schwachstellen (CVEs), 8 kritisch, zwei davon wurden als 0-day klassifiziert und eine wird ausgenutzt. Nachfolgend findet sich ein kompakter Überblick über diese Updates, die zum Patchday freigegeben wurden.

Die Secure-Boot-Zertifikate laufen ab. Was sollen Admins tun? Kostenloses eBook » (Sponsored by IT Pro)

Hinweise zu den Updates

Eine Liste der Updates finden Sie auf dieser Microsoft-Seite. Details zu den Update-Paketen für Windows, Office etc. sind in separaten Blogbeiträgen verfügbar.

Windows 10/11, Windows Server

Alle Windows 10/11-Updates (sowie die Updates der Server-Pendants) sind kumulativ. Das monatliche Patchday-Update enthält alle Sicherheitsfixes für diese Windows-Versionen – sowie alle nicht sicherheitsbezogenen Fixes bis zum Patchday. Zusätzlich zu den Sicherheitspatches für die Schwachstellen enthalten die Updates auch Fixes zur Behebung von Fehlern oder Neuerungen.

Im Oktober 2025 ist Windows 10 22H2 aus dem Support gefallen. Sicherheitsupdates gibt es  nur noch für Nutzer einer ESU-Lizenz.

Windows Server 2012 R2

Für Windows Server 2012 /R2 ist eine ESU-Lizenz zum Bezug weiterer Sicherheitsupdates erforderlich (Windows Server 2012/R2 bekommt Extended Sicherheitsupdates (ESU) bis Oktober 2026).

Zum 13. Januar 2026 erhält Windows Server 2008 letztmalig Updates im erweiterten Update-Programm.

Gefixte Schwachstellen

Bei Tenable gibt es diesen Blog-Beitrag mit einer Übersicht der gefixten Schwachstellen. Hier einige der kritischen Schwachstellen, die beseitigt wurden:

  • CVE-2026-20805: Desktop Window Manager Information Disclosure-Schwachstelle, CVSSv3 Score 5.5, Important; Eine erfolgreiche Ausnutzung ermöglicht einem authentifizierten Angreifer den Zugriff auf sensible Daten. Laut Microsoft wurde diese Sicherheitslücke in freier Wildbahn als Zero-Day-Exploit ausgenutzt.
  • CVE-2026-20871: Desktop Window Manager Information Disclosure-Schwachstelle, CVSSv3 Score 7.8, Important; Es ist eine Execution of Privilege (EoP)-Sicherheitslücke.
  • CVE-2026-21265 : Secure Boot Certificate Expiration Security Feature Bypass-Schwachstelle, CVSSv3 Score 6.4, Important;
  • CVE-2026-20952CVE-2026-20953: Microsoft Office Remote Code Execution-Schwachstelle, CVSSv3 Score 8.4, Critical; Ein Angreifer könnte diese Schwachstellen durch Social Engineering ausnutzen, indem er die bösartige Microsoft Office-Dokumentdatei an ein bestimmtes Ziel sendet. Eine erfolgreiche Ausnutzung würde dem Angreifer Codeausführungsrechte gewähren. Das Vorschaufenster ist ein Angriffsvektor für beide Schwachstellen.
  • CVE-2026-20840, CVE-2026-20922: Windows NTFS Remote Code Execution-Schwachstelle, CVSSv3 Score 7.8, Important; Microsoft stufte beide Schwachstellen als „Exploitation More Likely" (Ausnutzung sehr wahrscheinlich) ein. Laut Microsoft sind beide Schwachstellen auf heap-basierte Pufferüberläufe zurückzuführen, die ausgenutzt werden können, um beliebigen Code auf einem betroffenen System auszuführen. In beiden Sicherheitshinweisen wird außerdem darauf hingewiesen, dass jeder authentifizierte Angreifer diese Schwachstellen ausnutzen kann, unabhängig von seiner Berechtigungsstufe.

Eine Liste aller aufgedeckten CVEs finden Sie auf dieser Microsoft-Seite, Auszüge sind bei Tenable abrufbar. Bei Talos sind einige zusätzliche Schwachstellen abrufbar.

Ähnliche Artikel:
Microsoft Security Update Summary (13. Januar 2026)
Patchday: Windows 10/11 Updates (13. Januar 2026)
Patchday: Windows Server-Updates (13. Januar 2026)
Patchday: Microsoft Office Updates (13. Januar 2026)

Windows SQLite DLL-Problem mit Januar 2026 Updates behoben
Windows Januar 2026 Update tauscht Secure Boot Zertifikate
Windows 11 23H2: Januar 2026-Update KB5073455 macht Shutdown-/Sleep-Problem
Windows Januar 2026-Updates verursachen Verbindungs- und Authentifizierungsfehler
Windows 11 24H2/25H2: Citrix Director / Remote Assist funktioniert mit KB5074109 nicht mehr
Windows 11 24H2/25H2: Outlook Classic POP3-Abrufe hängen nach Update KB5074109
Windows: Out-of-Band-Update KB5077744 korrigiert Verbindungs- und Authentifizierungsfehler nach Jan. 2026-Updates
Windows 11 23H2: Out-of-Band-Update KB5077797 korrigiert Shutdown-/Sleep-Problem
Windows Telefonie-Server nach Januar 2026-Update nicht mehr erreichbar?

Dieser Beitrag wurde unter Office, Sicherheit, Software, Update, Windows, Windows Server abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Microsoft Security Update Summary (13. Januar 2026)

  1. Marco sagt:
    14. Januar 2026 um 09:48 Uhr

    Danke für die Zusammenfassung.
    Soweit ich das sehe, gibt es einen Zero Day: CVE-2026-20805
    Und dann zwei Publicly Disclosed-Lücken: CVE-2026-21265, CVE-2023-31096

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.