Microsoft hat am 12. Mai 2026 Sicherheitsupdates für Windows-Clients und -Server, für Office – sowie für weitere Produkte – veröffentlicht. Die Sicherheitsupdates beseitigen 118 Schwachstellen (CVEs – laut Microsoft sogar 137), 16 kritisch, 0 davon wurden als 0-day klassifiziert (keiner ausgenutzt). Nachfolgend findet sich ein kompakter Überblick über diese Updates, die zum Patchday freigegeben wurden.
Hinweise zu den Updates
Eine Liste der Updates finden Sie auf dieser Microsoft-Seite. Details zu den Update-Paketen für Windows, Office etc. sind in separaten Blogbeiträgen verfügbar.
Windows 10/11, Windows Server
Alle Windows 10/11-Updates (sowie die Updates der Server-Pendants) sind kumulativ. Das monatliche Patchday-Update enthält alle Sicherheitsfixes für diese Windows-Versionen – sowie alle nicht sicherheitsbezogenen Fixes bis zum Patchday. Zusätzlich zu den Sicherheitspatches für die Schwachstellen enthalten die Updates auch Fixes zur Behebung von Fehlern oder Neuerungen.
Im Oktober 2025 ist Windows 10 22H2 aus dem Support gefallen. Sicherheitsupdates gibt es nur noch für Nutzer einer ESU-Lizenz.
Windows Server 2012 R2
Für Windows Server 2012 /R2 ist eine ESU-Lizenz zum Bezug weiterer Sicherheitsupdates erforderlich (Windows Server 2012/R2 bekommt Extended Sicherheitsupdates (ESU) bis Oktober 2026).
Gefixte Schwachstellen
Bei Tenable gibt es diesen Blog-Beitrag mit einer Übersicht der gefixten Schwachstellen. Hier einige der kritischen Schwachstellen, die beseitigt wurden:
- CVE-2026-41103: Microsoft SSO Plugin for Jira & Confluence Elevation of Privilege-Schwachstelle, CVSSv3 Score 9.1, Critical; Es handelt sich um eine Sicherheitslücke, die eine Rechteausweitung ermöglicht und das Microsoft Single-Sign-On (SSO)-Plugin für Jira und Confluence betrifft. Ein unbefugter Angreifer könnte während des Anmeldevorgangs eine speziell gestaltete Antwortnachricht senden und diese Sicherheitslücke ausnutzen. Die erfolgreiche Ausnutzung würde dem Angreifer ermöglichen, sich unter Verwendung einer gefälschten Identität ohne Microsoft Entra ID-Authentifizierung anzumelden. Dadurch erhält er Zugriff auf Daten in Jira und Confluence und kann diese ändern. Der Zugriff auf Informationen ist jedoch nicht uneingeschränkt, da er durch die von den betroffenen Servern für den autorisierten Benutzer definierten Zugriffsrechte begrenzt ist. Microsoft bewertet sie als "Exploitation More Likely" (Ausnutzung eher wahrscheinlich).
- CVE-2026-33841, CVE-2026-35420, CVE-2026-40369: Windows Kernel Elevation of Privilege-Schwachstelle, CVSSv3 Score 7.8, Important; Laut Microsoft könnte die Schwachstellen von einem lokalen Angreifer ausgenutzt werden, um im Fall von CVE-2026-33841 auf die Integritätsstufe SYSTEM oder Medium/High zu eskalieren. Sowohl CVE-2026-33841 als auch CVE-2026-40369 wurden von Microsoft als "Exploitation More Likely" (Ausnutzung sehr wahrscheinlich) eingestuft.
- CVE-2026-40361, CVE-2026-40364, CVE-2026-40366, CVE-2026-40367: Microsoft Word Remote Code Execution-Schwachstelle, CVSSv3 Score 8.4, Critical; Ein Angreifer könnte diese Schwachstellen durch Social Engineering ausnutzen, indem er die schädliche Datei an ein beabsichtigtes Ziel sendet. Eine erfolgreiche Ausnutzung würde dem Angreifer Codeausführungsrechte gewähren. Dazu reicht die Anzeige im Vorschaubereich von Word. CVE-2026-40361 und CVE-2026-40364 wurden als "Ausnutzung wahrscheinlicher" bewertet.
- CVE-2026-41089: Windows Netlogon Remote Code Executio-Schwachstelle, CVSSv3 Score 9.8, Critical; Eine RCE-Sicherheitslücke, die Windows Netlogon betrifft, einen Windows Server-Prozess, der für die Authentifizierung innerhalb einer Domäne verwendet wird. Ein nicht authentifizierter Angreifer könnte diese Schwachstelle ausnutzen, indem er eine manipulierte Netzwerkanfrage an einen Windows-Server sendet, der als Domänencontroller läuft. Dieses Paket könnte eine stapelbasierte Pufferüberlauf-Schwachstelle ausnutzen, wodurch der Angreifer Code auf einem betroffenen System ausführen könnte. Trotz des kritischen Schweregrads und des nahezu perfekten CVSSv3-Werts wurde diese Schwachstelle von Microsoft als „Ausnutzung unwahrscheinlich" eingestuft.
Eine Liste aller aufgedeckten CVEs finden Sie auf dieser Microsoft-Seite, Auszüge sind bei Tenable abrufbar. Amol Sarwate, Leiter der Sicherheitsforschung und des REDLab bei Cohesity sagt zu obigen Schwachstellen: "Die beiden Sicherheitslücken CVE-2026-40361/40364 im Vorschaufenster von Microsoft Office Word erfordern keine Benutzerinteraktion und können Remote ausgelöst werden, indem einfach ein schädliches Dokument per E-Mail versendet wird. Das Lesebereich von Outlook ist seit langem ein gängiger Angriffsvektor; eine einzige eingehende E-Mail kann die Ausnutzung der Schwachstelle auslösen, ohne dass der Benutzer sie jemals öffnet. Darüber hinaus handelt es sich bei CVE-2026-40369, mit der Ausnutzbarkeitsbewertung 'eher wahrscheinlich', um eine Windows-Kernel-EoP-Schwachstelle (Elevation of Privilege). In der Vergangenheit wurden diese Arten von Schwachstellen von Ransomware und APT genutzt, um durch Phishing oder gestohlene Anmeldedaten erlangte geringe Berechtigungen auf die vollständige Kontrolle über den Host auszuweiten." Von Talos liegt mir noch keine Kommenteirung der Schwachstellen vor.
Ähnliche Artikel:
Microsoft Security Update Summary (12. Mai 2026)
Patchday: Windows 10/11 Updates (12. Mai 2026)
Patchday: Windows Server-Updates (12. Mai 2026)
Patchday: Microsoft Office Updates (12. Mai 2026)
MVP: 2013 – 2016
