Microsoft Security Update Summary (9. Juni 2026)

Veröffentlicht am 9. Juni 2026 von Günter Born

UpdateMicrosoft hat am 9. Juni 2026 Sicherheitsupdates für Windows-Clients und -Server, für Office – sowie für weitere Produkte  – veröffentlicht. Die Sicherheitsupdates beseitigen 198 Schwachstellen, 32 kritisch, und 166 als wichtig eingestuft. Nachfolgend findet sich ein kompakter Überblick über diese Updates, die zum Patchday freigegeben wurden.

Passwörter im Active Directory mit PowerShell verwalten. eBook herunterladen » (Sponsored by IT Pro)

Hinweise zu den Updates

Eine Liste der Updates finden Sie auf dieser Microsoft-Seite. Details zu den Update-Paketen für Windows, Office etc. sind in separaten Blogbeiträgen verfügbar.

Windows 10/11, Windows Server

Alle Windows 10/11-Updates (sowie die Updates der Server-Pendants) sind kumulativ. Das monatliche Patchday-Update enthält alle Sicherheitsfixes für diese Windows-Versionen – sowie alle nicht sicherheitsbezogenen Fixes bis zum Patchday. Zusätzlich zu den Sicherheitspatches für die Schwachstellen enthalten die Updates auch Fixes zur Behebung von Fehlern oder Neuerungen.

Im Oktober 2025 ist Windows 10 22H2 aus dem Support gefallen. Sicherheitsupdates gibt es  nur noch für Nutzer einer ESU-Lizenz.

Windows Server 2012 R2

Für Windows Server 2012 /R2 ist eine ESU-Lizenz zum Bezug weiterer Sicherheitsupdates erforderlich (Windows Server 2012/R2 bekommt Extended Sicherheitsupdates (ESU) bis Oktober 2026).

Gefixte Schwachstellen

Bei Tenable gibt es diesen Blog-Beitrag mit einer Übersicht der gefixten Schwachstellen. Hier einige der kritischen Schwachstellen, die beseitigt wurden:

  • CVE-2026-50507: Windows BitLocker Security Feature Bypass-Schwachstelle, CVSSv3 Score 6.8, Important; Einstufung als "Exploitation More Likely". Diese wurde öffentlich bekannt gegeben, bevor ein Patch verfügbar war. Laut Microsoft könnte ein Angreifer mit physischem Zugriff auf das System die BitLocker-Geräteverschlüsselung umgehen, um Zugriff auf die verschlüsselten Daten des Geräts zu erlangen. Es scheint sich um die als "Bitskrieg" bekannte Schwachstelle zu handeln, die aus einer Zusammenarbeit zwischen Chaotic Eclipse (Nightmare Eclipse) und Jonas L. hervorgegangen ist (siehe Windows: Details zur Bitlocker-Schwachstelle "Bitskrieg").
  • CVE-2026-49160: HTTP.sys Denial of Service-Schwachstelle, CVSSv3 Score 7.5, Important; Einstufung als "Exploitation More Likely". Diese wurde öffentlich bekannt gegeben, bevor ein Patch verfügbar war. Laut der Sicherheitsmitteilung betrifft dieser DoS-Angriff HTTP/2 (siehe HTTP/2 Bomb: DoS auf Web-Server (Nginx, Apache HTTPD und Microsoft IIS)). In der Mitteilung wird darauf hingewiesen, dass dieses Update eine Registrierungs-Einstellung namens MaxHeadersCount hinzufügt, mit der die Anzahl der in HTTP/2- und HTTP/3-Anfragen enthaltenen Header begrenzt werden kann.
  • CVE-2026-45586: Windows Collaborative Translation Framework (CTFMON) Elevation of Privilege-Schwachstelle, CVSSv3 Score 7.8, Important; Einstufung als "Exploitation More Likely". Diese wurde öffentlich bekannt gegeben, bevor ein Patch verfügbar war. Eine EoP-Sicherheitslücke, die das Windows Collaborative Translation Framework (CTFMON) betrifft, einen Prozess, der die Sprach- und Handschrifterkennung unterstützt. Eine erfolgreiche Ausnutzung würde einem Angreifer SYSTEM-Rechte verschaffen.
  • CVE-2026-42909CVE-2026-42913CVE-2026-42985CVE-2026-42992CVE-2026-42993CVE-2026-44799CVE-2026-44801CVE-2026-47289CVE-2026-47653CVE-2026-47654, CVE-2026-48563: Remote Desktop Client Remote Code Execution-Schwachstelle, Die CVSSv3-Werte reichten von 8,8 (CVE-2026-42985, CVE-2026-47289 und CVE-2026-47653) bis 7,5; sieben wurden als kritisch eingestuft, während CVE-2026-42993, CVE-2026-42909, CVE-2026-47653 und CVE-2026-42913 als „wichtig" eingestuft wurden; Microsoft hat CVE-2026-42985 als "Ausnutzung eher wahrscheinlich" eingestuft, während die anderen CVEs entweder als "Ausnutzung unwahrscheinlich" oder "Ausnutzung eher unwahrscheinlich" klassifiziert wurden. Eine erfolgreiche Ausnutzung würde voraussetzen, dass sich ein Opfer über eine betroffene Version des Remote-Desktop-Clients mit einem vom Angreifer kontrollierten Server verbindet. Dies könnte einen heap-basierten Pufferüberlauf auslösen, der zur Remote Code Ausführung  führt.

Zudem wurden noch zwei Reihe Out-of-Band-Updates veröffentlicht, die sich auf den Defender und Bitlocker beziehen:

  • CVE-2026-41091: Microsoft Defender Elevation of Privilege-Schwachstelle; CVSSv3 Score 7.8, Important; Ein nicht privilegierter Angreifer könnte diese Sicherheitslücke ausnutzen, indem er eine speziell gestaltete Datei an einem privilegierten Speicherort ablegt. Bei erfolgreicher Ausnutzung würde Microsoft Defender die Datei an diesen Speicherort zurückschreiben und dabei Privilegien als SYSTEM erlangen. Berichten zufolge handelt es sich bei CVE-2026-41091 um "RedSun" (siehe RedSun: Nächste Windows Defender 0-Day-Schwachstelle), eine Zero-Day-Sicherheitslücke, die am 15. April 2026 von einem Forscher namens Chaotic Eclipse oder Nightmare Eclipse bekannt gegeben wurde. Die Schwachstelle wurde inzwischen in der Praxis ausgenutzt und am 20. Mai in den Katalog „Known Exploited Vulnerabilities" (CISA KEV) der Cybersecurity and Infrastructure Security Agency aufgenommen.
  • CVE-2026-41091: Windows BitLocker Security Feature Bypass; CVSSv3 Score 6.8, Important; Diese Sicherheitslücke ist unter dem Namen "YellowKey" von Nightmare Eclipse offen gelegt worden (siehe Chaotic Eclipse: Zwei 0-Day-Windows Schwachstellen (YellowKey, GreenPlasma), eine in MS Teams). Am 13. Mai wurde ein Proof-of-Concept (PoC) veröffentlicht, woraufhin Microsoft am 19. Mai die ursprüngliche Sicherheitsempfehlung und die CVE-Kennung veröffentlichte und Maßnahmen zur Risikominderung empfahl. Für die Ausnutzung ist zwar physischer Zugriff auf das Gerät erforderlich, Microsoft stuft diese Sicherheitslücke jedoch als „Ausnutzung eher wahrscheinlich" ein.

Eine Liste aller aufgedeckten CVEs finden Sie auf dieser Microsoft-Seite, Auszüge sind bei Tenable abrufbar. Von Talos liegt mir noch keine Kommentierung der Schwachstellen vor (trage ich nach, sobald ich die Information habe).

Ähnliche Artikel:
Microsoft Security Update Summary (9. Juni 2026)
Patchday: Windows 10/11 Updates (9. Juni i 2026)
Patchday: Windows Server-Updates (9. Juni 2026)
Patchday: Microsoft Office Updates (9. Juni 2026)

Dieser Beitrag wurde unter Office, Sicherheit, Update, Windows, Windows Server abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen für den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.