Microsoft Security Update Summary (10. Februar 2026)

Veröffentlicht am 10. Februar 2026 von Günter Born

UpdateMicrosoft hat am 10. Februar 2026 Sicherheitsupdates für Windows-Clients und -Server, für Office – sowie für weitere Produkte  – veröffentlicht. Die Sicherheitsupdates beseitigen 54 Schwachstellen (CVEs), 8 kritisch, sechs davon wurden als 0-day klassifiziert und eine wird ausgenutzt. Nachfolgend findet sich ein kompakter Überblick über diese Updates, die zum Patchday freigegeben wurden.

Die Secure-Boot-Zertifikate laufen ab. Was sollen Admins tun? Kostenloses eBook » (Sponsored by IT Pro)

Hinweise zu den Updates

Eine Liste der Updates finden Sie auf dieser Microsoft-Seite. Details zu den Update-Paketen für Windows, Office etc. sind in separaten Blogbeiträgen verfügbar.

Windows 10/11, Windows Server

Alle Windows 10/11-Updates (sowie die Updates der Server-Pendants) sind kumulativ. Das monatliche Patchday-Update enthält alle Sicherheitsfixes für diese Windows-Versionen – sowie alle nicht sicherheitsbezogenen Fixes bis zum Patchday. Zusätzlich zu den Sicherheitspatches für die Schwachstellen enthalten die Updates auch Fixes zur Behebung von Fehlern oder Neuerungen.

Im Oktober 2025 ist Windows 10 22H2 aus dem Support gefallen. Sicherheitsupdates gibt es  nur noch für Nutzer einer ESU-Lizenz.

Windows Server 2012 R2

Für Windows Server 2012 /R2 ist eine ESU-Lizenz zum Bezug weiterer Sicherheitsupdates erforderlich (Windows Server 2012/R2 bekommt Extended Sicherheitsupdates (ESU) bis Oktober 2026).

Gefixte Schwachstellen

Bei Tenable gibt es diesen Blog-Beitrag mit einer Übersicht der gefixten Schwachstellen. Hier einige der kritischen Schwachstellen, die beseitigt wurden:

  • CVE-2026-21510: Windows Shell Security Feature Bypass-Schwachstelle, CVSSv3 Score 8.8, Important; Um die Schwachstelle auszunutzen, muss ein Angreifer einen ahnungslosen Benutzer dazu bringen, einen bösartigen Link oder eine bösartige Verknüpfungsdatei zu öffnen. Dadurch kann der Angreifer die Warnungen von Windows SmartScreen und Windows Shell umgehen, indem er eine Schwachstelle in Windows Shell-Komponenten ausnutzt. Laut Microsoft wurde diese Sicherheitslücke in freier Wildbahn als Zero-Day-Exploit ausgenutzt.
  • CVE-2026-21533: Windows Remote Desktop Services Elevation of Privilege-Schwachstelle, CVSSv3 Score 7.8, Important; Eine erfolgreiche Ausnutzung ermöglicht es einem lokalen, authentifizierten Angreifer, sich SYSTEM-Berechtigungen zu verschaffen.
  • CVE-2026-21519: Desktop Window Manager Elevation of Privilege-Schwachstelle, CVSSv3 Score 7.8, Important; Eine EoP-Sicherheitslücke, die den Desktop Window Manager betrifft, einen Windows-Dienst, der zur Darstellung der grafischen Benutzeroberfläche (GUI) in Windows verwendet wird. lokaler, authentifizierter Angreifer könnte diese Sicherheitslücke ausnutzen, um sich SYSTEM-Rechte zu verschaffen. Laut Microsoft wurde diese Sicherheitslücke in freier Wildbahn als Zero-Day-Exploit ausgenutzt.
  • CVE-2026-21514: Microsoft Word Security Feature Bypass-Schwachstelle, CVSSv3 Score 7.8, Important; Eine Sicherheitslücke, die eine Umgehung von Sicherheitsfunktionen in Microsoft Word ermöglicht. Für eine erfolgreiche Ausnutzung muss ein Angreifer einen Benutzer dazu bringen, eine speziell gestaltete Office-Datei zu öffnen. Laut Microsoft-Hinweis ist das Vorschaubereich kein Angriffsvektor. Diese Sicherheitslücke wurde vor der Veröffentlichung eines Patches öffentlich bekannt gegeben und auch als Zero-Day-Exploit in freier Wildbahn ausgenutzt.
  • CVE-2026-21525: Denial-of-Service (DoS) Schwachstelle, CVSSv3 Score 6.2, Moderate; Eine Denial-of-Service-Sicherheitslücke (DoS), die den Windows Remote Access Connection Manager (auch bekannt als RasMan) betrifft. Das ist ein Tool zur Verwaltung mehrerer Remote-Desktop-Verbindungen. Die Schwachstelle wurde in freier Wildbahn ausgenutzt. Obwohl keine Informationen über die Ausnutzung dieses DoS veröffentlicht wurden, würdigt die Sicherheitsempfehlung das 0patch-Sicherheitsforschungsteam für die Meldung dieser Schwachstelle.
  • CVE-2026-21513: MSHTML Framework Security Feature Bypass-Schwachstelle, CVSSv3 Score 8.8, Important; Eine Sicherheitslücke beim Umgehen von Sicherheitsfunktionen im MSHTML-Framework. Laut Microsoft wurde sie sowohl in der Praxis ausgenutzt als auch öffentlich bekannt gegeben, bevor ein Patch verfügbar war. Um diese Schwachstelle erfolgreich auszunutzen, muss ein Angreifer ein potenzielles Opfer dazu bringen, entweder eine schädliche HTML-Datei oder eine Verknüpfungsdatei (.lnk) zu öffnen. Wie ähnliche Sicherheitslücken kann auch diese Schwachstelle Schutzaufforderungen umgehen, die einen Benutzer vor dem Öffnen einer Datei warnen würden.
  • CVE-2026-21511: Microsoft Outlook-Spoofing-Schwachstelle, CVSSv3 Score 7.5, Important; Die Spoofing-Sicherheitslücke ist das Ergebnis eines Fehlers bei der Deserialisierung nicht vertrauenswürdiger Daten, den ein Angreifer mithilfe einer manipulierten E-Mail auslösen kann. Microsoft weist darauf hin, dass das Vorschaufenster ein Angriffsvektor für diesen Fehler ist. CVE-2026-21511 wurde gemäß dem Exploitability Index von Microsoft als „Exploitation More Likely" (Ausnutzung eher wahrscheinlich) bewertet.

Eine Liste aller aufgedeckten CVEs finden Sie auf dieser Microsoft-Seite, Auszüge sind bei Tenable abrufbar.

Ergänzung: Bei Talos sind einige zusätzliche Schwachstellen abrufbar. Hier möchte ich CVE-2026-20841 erwähnen. Es ist unglaublich, in Editor Microsoft Notepad gibt es eine Remote Code Execution (RCE) Schwachstelle. Die könnte es einem Angreifer ermöglichen, einen Benutzer dazu zu verleiten, auf einen bösartigen Link in einer in Notepad geöffneten Markdown-Datei zu klicken, was zum Start nicht vertrauenswürdiger Protokolle führt, die Remote-Inhalte herunterladen und ausführen.

Dann gibt es noch die Schwachstellen CVE-2026-21244 und CVE-2026-21248 in Windows Hyper-V. Diese ermöglichen es unbefugten Angreifern, lokal beliebigen Code auszuführen. Die Ausnutzung erfordert die lokale Ausführung von Code, in der Regel indem ein Benutzer dazu gebracht wird, eine schädliche Office-Datei zu öffnen.

In GitHub Copilot wurden außerdem mehrere RCE-Schwachstellen, darunter CVE-2026-21516CVE-2026-21523, CVE-2026-21256, CVE-2026-21516, identifiziert. CVE-2026-21516 ist eine lokal ausnutzbare Schwachstelle in GitHub Copilot für JetBrains, die die Ausführung von Code auf dem betroffenen System erfordert. Für CVE-2026-21523 hat Microsoft über die Angabe eines Netzwerkangriffsvektors hinaus nur begrenzte Details bereitgestellt. CVE-2026-21256 ist eine Schwachstelle bei der Befehlsinjektion, die durch die unsachgemäße Behandlung von Sonderzeichen verursacht wird und die unbefugte Remote-Codeausführung in GitHub Copilot und Visual Studio Code ermöglicht.

Ähnliche Artikel:
Microsoft Security Update Summary (10. Februar 2026)
Patchday: Windows 10/11 Updates (10. Februar 2026)
Patchday: Windows Server-Updates (10. Februar 2026)
Patchday: Microsoft Office Updates (10. Februar 2026)

Exchange Server Sicherheitsupdates Februar 2026

Dieser Beitrag wurde unter Office, Sicherheit, Software, Update, Windows, Windows 10, Windows Server abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Kommentare zu Microsoft Security Update Summary (10. Februar 2026)

  1. Carsten sagt:
    10. Februar 2026 um 22:33 Uhr

    Server 2022 bisher keine Probleme feststellen können. Installation war reibungslos.

    Antworten
  2. Karsten sagt:
    11. Februar 2026 um 06:33 Uhr

    Ist der Word Ole Patch jetzt die richtige Lösung von letztem Monat? Weiß das jemand ?

    Antworten
  3. M sagt:
    11. Februar 2026 um 10:48 Uhr

    Hallo,

    > in Editor Microsoft Notepad gibt es eine Remote Code Execution (RCE) Schwachstelle.

    The f…

    Grüße

    Antworten
  4. Matthias sagt:
    12. Februar 2026 um 08:26 Uhr

    RCE – Remote code execution

    Verstehe nur ich das falsch oder warum wird hier unreflektiert die Mär erzählt, dass die Notepad-Lücke eine RCE ist?

    Unter RCE verstehe ich:

    Remote-Code-Ausführung (Remote Code Execution) stellt die Möglichkeit eines Angreifers dar, aus der Ferne auf Computer und Endgeräte zuzugreifen und dort Änderungen durchzuführen oder Programme und Software auszuführen.

    Das geht bei Notepad aber erst, wenn der Nutzer einen entsprechenden Link klickt (also gerade kein initial aus der Ferne steuerbarer Zugriff).

    Sonst ist jedes Mailprogramm ja ein RCE Problemfall, wenn ich ihm Mails mit Links schicke, die der Nutzer erst anklicken muss…

    Beste Grüße,

    Matthias

    Antworten
    • Günter Born sagt:
      12. Februar 2026 um 08:45 Uhr

      Matthias, ich fasse mich kurz: Schaue dir bitte die Einstufung von Microsoft für CVE-2026-20841 "Windows Notepad App Remote Code Execution Vulnerability" an, und dann diskutierst Du mit denen, warum die das so unreflektiert in die Landschaft stellen. Ich gebe genau die Einschätzung meiner Primärquellen wieder – fertig.

      Antworten

Antworte auf den Kommentar von Matthias Antwort abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.