Microsoft Security Update Summary (12. Mai 2026)

Microsoft hat am 12. Mai 2026 Sicherheitsupdates für Windows-Clients und -Server, für Office – sowie für weitere Produkte  – veröffentlicht. Die Sicherheitsupdates beseitigen 118 Schwachstellen (CVEs – laut Microsoft sogar 137), 16 kritisch, 0 davon wurden als 0-day klassifiziert (keiner ausgenutzt). Nachfolgend findet sich ein kompakter Überblick über diese Updates, die zum Patchday freigegeben wurden.

Hinweise zu den Updates

Eine Liste der Updates finden Sie auf dieser Microsoft-Seite. Details zu den Update-Paketen für Windows, Office etc. sind in separaten Blogbeiträgen verfügbar.

Windows 10/11, Windows Server

Alle Windows 10/11-Updates (sowie die Updates der Server-Pendants) sind kumulativ. Das monatliche Patchday-Update enthält alle Sicherheitsfixes für diese Windows-Versionen – sowie alle nicht sicherheitsbezogenen Fixes bis zum Patchday. Zusätzlich zu den Sicherheitspatches für die Schwachstellen enthalten die Updates auch Fixes zur Behebung von Fehlern oder Neuerungen.

Im Oktober 2025 ist Windows 10 22H2 aus dem Support gefallen. Sicherheitsupdates gibt es  nur noch für Nutzer einer ESU-Lizenz.

Windows Server 2012 R2

Für Windows Server 2012 /R2 ist eine ESU-Lizenz zum Bezug weiterer Sicherheitsupdates erforderlich (Windows Server 2012/R2 bekommt Extended Sicherheitsupdates (ESU) bis Oktober 2026).

Gefixte Schwachstellen

Bei Tenable gibt es diesen Blog-Beitrag mit einer Übersicht der gefixten Schwachstellen. Hier einige der kritischen Schwachstellen, die beseitigt wurden:

• CVE-2026-41103: Microsoft SSO Plugin for Jira & Confluence Elevation of Privilege-Schwachstelle, CVSSv3 Score 9.1, Critical; Es handelt sich um eine Sicherheitslücke, die eine Rechteausweitung ermöglicht und das Microsoft Single-Sign-On (SSO)-Plugin für Jira und Confluence betrifft. Ein unbefugter Angreifer könnte während des Anmeldevorgangs eine speziell gestaltete Antwortnachricht senden und diese Sicherheitslücke ausnutzen. Die erfolgreiche Ausnutzung würde dem Angreifer ermöglichen, sich unter Verwendung einer gefälschten Identität ohne Microsoft Entra ID-Authentifizierung anzumelden. Dadurch erhält er Zugriff auf Daten in Jira und Confluence und kann diese ändern. Der Zugriff auf Informationen ist jedoch nicht uneingeschränkt, da er durch die von den betroffenen Servern für den autorisierten Benutzer definierten Zugriffsrechte begrenzt ist. Microsoft bewertet sie als "Exploitation More Likely" (Ausnutzung eher wahrscheinlich).
• CVE-2026-33841, CVE-2026-35420, CVE-2026-40369: Windows Kernel Elevation of Privilege-Schwachstelle, CVSSv3 Score 7.8, Important; Laut Microsoft könnte die Schwachstellen von einem lokalen Angreifer ausgenutzt werden, um im Fall von CVE-2026-33841 auf die Integritätsstufe SYSTEM oder Medium/High zu eskalieren. Sowohl CVE-2026-33841 als auch CVE-2026-40369 wurden von Microsoft als "Exploitation More Likely" (Ausnutzung eher wahrscheinlich) eingestuft.
• CVE-2026-40361, CVE-2026-40364, CVE-2026-40366, CVE-2026-40367: Microsoft Word Remote Code Execution-Schwachstelle, CVSSv3 Score 8.4, Critical;  Ein Angreifer könnte diese Schwachstellen durch Social Engineering ausnutzen, indem er die schädliche Datei an ein beabsichtigtes Ziel sendet. Eine erfolgreiche Ausnutzung würde dem Angreifer Codeausführungsrechte gewähren. Dazu reicht die Anzeige im Vorschaubereich von Word. CVE-2026-40361 und CVE-2026-40364 wurden als "Ausnutzung eher wahrscheinlich" bewertet.
• CVE-2026-41089: Windows Netlogon Remote Code Executio-Schwachstelle, CVSSv3 Score 9.8, Critical; Eine RCE-Sicherheitslücke, die Windows Netlogon betrifft, einen Windows Server-Prozess, der für die Authentifizierung innerhalb einer Domäne verwendet wird. Ein nicht authentifizierter Angreifer könnte diese Schwachstelle ausnutzen, indem er eine manipulierte Netzwerkanfrage an einen Windows-Server sendet, der als Domänencontroller läuft. Dieses Paket könnte eine stapelbasierte Pufferüberlauf-Schwachstelle ausnutzen, wodurch der Angreifer Code auf einem betroffenen System ausführen könnte. Trotz des kritischen Schweregrads und des nahezu perfekten CVSSv3-Werts wurde diese Schwachstelle von Microsoft als "Ausnutzung unwahrscheinlich" eingestuft.

Eine Liste aller aufgedeckten CVEs finden Sie auf dieser Microsoft-Seite, Auszüge sind bei Tenable abrufbar. Amol Sarwate, Leiter der Sicherheitsforschung und des REDLab bei Cohesity sagt zu obigen Schwachstellen:

"Die beiden Sicherheitslücken CVE-2026-40361/40364 im Vorschaufenster von Microsoft Office Word erfordern keine Benutzerinteraktion und können Remote ausgelöst werden, indem einfach ein schädliches Dokument per E-Mail versendet wird. Das Lesebereich von Outlook ist seit langem ein gängiger Angriffsvektor; eine einzige eingehende E-Mail kann die Ausnutzung der Schwachstelle auslösen, ohne dass der Benutzer sie jemals öffnet. Darüber hinaus handelt es sich bei CVE-2026-40369, mit der Ausnutzbarkeitsbewertung 'eher wahrscheinlich', um eine Windows-Kernel-EoP-Schwachstelle (Elevation of Privilege). In der Vergangenheit wurden diese Arten von Schwachstellen von Ransomware und APT genutzt, um durch Phishing oder gestohlene Anmeldedaten erlangte geringe Berechtigungen auf die vollständige Kontrolle über den Host auszuweiten."

Von Talos liegt mir noch keine Kommentierung der Schwachstellen vor (trage ich nach, sobald ich die Information habe). Ergänzung: Auch Talos hat inzwischen diesen Artikel mit einigen Hinweisen zu weiteren Schwachstellen veröffentlicht. Hier möchte ich folgende Schwachstellen hervorheben, die "unschön" sind.

• CVE-2026-41089: Windows Netlogon Remote Code Execution-Schwachstelle; CVSS 3.1 Base-Score 9.8; kritisch; Es handelt sich um einen kritischen stapelbasierten Pufferüberlauf in Windows Netlogon, der es einem unbefugten Angreifer ermöglicht, Code über ein Netzwerk auszuführen. Ein Angreifer könnte eine speziell gestaltete Netzwerkanfrage an einen Windows-Server senden, der als Domänencontroller fungiert. Im Erfolgsfall könnte dies dazu führen, dass der Netlogon-Dienst die Anfrage fehlerhaft verarbeitet, wodurch der Angreifer möglicherweise Code auf dem betroffenen System ausführen kann, ohne sich anmelden zu müssen oder über vorherigen Zugriff zu verfügen.
• CVE-2026-41096: Windows DNS Client Remote Code Execution-Schwachstelle;
  CVSS 3.1 Base-Score 9.8; kritisch, Es handelt sich um eine kritische, auf einem Heap-Überlauf basierende Sicherheitslücke im Windows-DNS-Client. Ein Angreifer könnte diese Sicherheitslücke ausnutzen, indem er eine speziell gestaltete DNS-Antwort an ein anfälliges Windows-System sendet, wodurch der DNS-Client die Antwort fehlerhaft verarbeitet und Speicher beschädigt. Unter bestimmten Konfigurationen könnte dies dem Angreifer ermöglichen, ohne Authentifizierung aus der Ferne Code auf dem betroffenen System auszuführen.

Beide Schwachstellen implizieren, dass die Systeme umgehend gepatcht werden, um beide Lücken zu schließen.

Ähnliche Artikel:
Microsoft Security Update Summary (12. Mai 2026)
Patchday: Windows 10/11 Updates (12. Mai 2026)
Patchday: Windows Server-Updates (12. Mai 2026)
Patchday: Microsoft Office Updates (12. Mai 2026)

Windows 11: Dell bestätigt Probleme des Support Assist (Mai 2026)
Windows 11: Dell Support Assist verursacht BSOD mit Updates (Mai 2026)
Patchday-Nachlese (Mai 2026): Probleme mit Windows 11 und mehr
Windows Server 2019: Macht Update KB5087538 Probleme mit Citrix Worker und RDP?