Microsoft Security Update Summary (9. Februar 2026)

Microsoft hat am 9. Februar 2026 Sicherheitsupdates für Windows-Clients und -Server, für Office – sowie für weitere Produkte  – veröffentlicht. Die Sicherheitsupdates beseitigen 54 Schwachstellen (CVEs), 8 kritisch, sechs davon wurden als 0-day klassifiziert und eine wird ausgenutzt. Nachfolgend findet sich ein kompakter Überblick über diese Updates, die zum Patchday freigegeben wurden.

Hinweise zu den Updates

Eine Liste der Updates finden Sie auf dieser Microsoft-Seite. Details zu den Update-Paketen für Windows, Office etc. sind in separaten Blogbeiträgen verfügbar.

Windows 10/11, Windows Server

Alle Windows 10/11-Updates (sowie die Updates der Server-Pendants) sind kumulativ. Das monatliche Patchday-Update enthält alle Sicherheitsfixes für diese Windows-Versionen – sowie alle nicht sicherheitsbezogenen Fixes bis zum Patchday. Zusätzlich zu den Sicherheitspatches für die Schwachstellen enthalten die Updates auch Fixes zur Behebung von Fehlern oder Neuerungen.

Im Oktober 2025 ist Windows 10 22H2 aus dem Support gefallen. Sicherheitsupdates gibt es  nur noch für Nutzer einer ESU-Lizenz.

Windows Server 2012 R2

Für Windows Server 2012 /R2 ist eine ESU-Lizenz zum Bezug weiterer Sicherheitsupdates erforderlich (Windows Server 2012/R2 bekommt Extended Sicherheitsupdates (ESU) bis Oktober 2026).

Gefixte Schwachstellen

Bei Tenable gibt es diesen Blog-Beitrag mit einer Übersicht der gefixten Schwachstellen. Hier einige der kritischen Schwachstellen, die beseitigt wurden:

• CVE-2026-21510: Windows Shell Security Feature Bypass-Schwachstelle, CVSSv3 Score 8.8, Important; Um die Schwachstelle auszunutzen, muss ein Angreifer einen ahnungslosen Benutzer dazu bringen, einen bösartigen Link oder eine bösartige Verknüpfungsdatei zu öffnen. Dadurch kann der Angreifer die Warnungen von Windows SmartScreen und Windows Shell umgehen, indem er eine Schwachstelle in Windows Shell-Komponenten ausnutzt. Laut Microsoft wurde diese Sicherheitslücke in freier Wildbahn als Zero-Day-Exploit ausgenutzt.
• CVE-2026-21533: Windows Remote Desktop Services Elevation of Privilege-Schwachstelle, CVSSv3 Score 7.8, Important; Eine erfolgreiche Ausnutzung ermöglicht es einem lokalen, authentifizierten Angreifer, sich SYSTEM-Berechtigungen zu verschaffen.
• CVE-2026-21519: Desktop Window Manager Elevation of Privilege-Schwachstelle, CVSSv3 Score 7.8, Important; Eine EoP-Sicherheitslücke, die den Desktop Window Manager betrifft, einen Windows-Dienst, der zur Darstellung der grafischen Benutzeroberfläche (GUI) in Windows verwendet wird. lokaler, authentifizierter Angreifer könnte diese Sicherheitslücke ausnutzen, um sich SYSTEM-Rechte zu verschaffen. Laut Microsoft wurde diese Sicherheitslücke in freier Wildbahn als Zero-Day-Exploit ausgenutzt.
• CVE-2026-21514: Microsoft Word Security Feature Bypass-Schwachstelle, CVSSv3 Score 7.8, Important; Eine Sicherheitslücke, die eine Umgehung von Sicherheitsfunktionen in Microsoft Word ermöglicht. Für eine erfolgreiche Ausnutzung muss ein Angreifer einen Benutzer dazu bringen, eine speziell gestaltete Office-Datei zu öffnen. Laut Microsoft-Hinweis ist das Vorschaubereich kein Angriffsvektor. Diese Sicherheitslücke wurde vor der Veröffentlichung eines Patches öffentlich bekannt gegeben und auch als Zero-Day-Exploit in freier Wildbahn ausgenutzt.
• CVE-2026-21525: Denial-of-Service (DoS) Schwachstelle, CVSSv3 Score 6.2, Moderate; Eine Denial-of-Service-Sicherheitslücke (DoS), die den Windows Remote Access Connection Manager (auch bekannt als RasMan) betrifft. Das ist ein Tool zur Verwaltung mehrerer Remote-Desktop-Verbindungen. Die Schwachstelle wurde in freier Wildbahn ausgenutzt. Obwohl keine Informationen über die Ausnutzung dieses DoS veröffentlicht wurden, würdigt die Sicherheitsempfehlung das 0patch-Sicherheitsforschungsteam für die Meldung dieser Schwachstelle.
• CVE-2026-21513: MSHTML Framework Security Feature Bypass-Schwachstelle, CVSSv3 Score 8.8, Important; Eine Sicherheitslücke beim Umgehen von Sicherheitsfunktionen im MSHTML-Framework. Laut Microsoft wurde sie sowohl in der Praxis ausgenutzt als auch öffentlich bekannt gegeben, bevor ein Patch verfügbar war. Um diese Schwachstelle erfolgreich auszunutzen, muss ein Angreifer ein potenzielles Opfer dazu bringen, entweder eine schädliche HTML-Datei oder eine Verknüpfungsdatei (.lnk) zu öffnen. Wie ähnliche Sicherheitslücken kann auch diese Schwachstelle Schutzaufforderungen umgehen, die einen Benutzer vor dem Öffnen einer Datei warnen würden.
• CVE-2026-21511: Microsoft Outlook-Spoofing-Schwachstelle, CVSSv3 Score 7.5, Important; Die Spoofing-Sicherheitslücke ist das Ergebnis eines Fehlers bei der Deserialisierung nicht vertrauenswürdiger Daten, den ein Angreifer mithilfe einer manipulierten E-Mail auslösen kann. Microsoft weist darauf hin, dass das Vorschaufenster ein Angriffsvektor für diesen Fehler ist. CVE-2026-21511 wurde gemäß dem Exploitability Index von Microsoft als „Exploitation More Likely" (Ausnutzung eher wahrscheinlich) bewertet.

Eine Liste aller aufgedeckten CVEs finden Sie auf dieser Microsoft-Seite, Auszüge sind bei Tenable abrufbar.

Ähnliche Artikel:
Microsoft Security Update Summary (9. Februar 2026)
Patchday: Windows 10/11 Updates (9. Februar 2026)
Patchday: Windows Server-Updates (9. Februar 2026)
Patchday: Microsoft Office Updates (9. Februar 2026)