![\"Update\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/06\/Update-01.jpg\" "\\"Update\\"")
Microsoft hat am 12. Mai 2026 Sicherheitsupdates f\u00fcr Windows-Clients und -Server, f\u00fcr Office – sowie f\u00fcr weitere Produkte\u00a0 – ver\u00f6ffentlicht. Die Sicherheitsupdates beseitigen 118 Schwachstellen (CVEs – laut Microsoft sogar 137), 16 kritisch, 0 davon wurden als 0-day klassifiziert (keiner ausgenutzt). Nachfolgend findet sich ein kompakter \u00dcberblick \u00fcber diese Updates, die zum Patchday freigegeben wurden.<\/p>\n
<\/p>\n
Alle Windows 10\/11-Updates (sowie die Updates der Server-Pendants) sind kumulativ. Das monatliche Patchday-Update enth\u00e4lt alle Sicherheitsfixes f\u00fcr diese Windows-Versionen – sowie alle nicht sicherheitsbezogenen Fixes bis zum Patchday. Zus\u00e4tzlich zu den Sicherheitspatches f\u00fcr die Schwachstellen enthalten die Updates auch Fixes zur Behebung von Fehlern oder Neuerungen.<\/p>\n Im Oktober 2025 ist Windows 10 22H2 aus dem Support gefallen. Sicherheitsupdates gibt es\u00a0 nur noch f\u00fcr Nutzer einer ESU-Lizenz.<\/p>\n F\u00fcr Windows Server 2012 \/R2 ist eine ESU-Lizenz zum Bezug weiterer Sicherheitsupdates erforderlich (Windows Server 2012\/R2 bekommt Extended Sicherheitsupdates (ESU) bis Oktober 2026<\/a>).<\/p>\n Bei Tenable gibt es diesen Blog-Beitrag<\/a> mit einer \u00dcbersicht der gefixten Schwachstellen. Hier einige der kritischen Schwachstellen, die beseitigt wurden:<\/p>\n Eine Liste aller aufgedeckten CVEs finden Sie auf dieser Microsoft-Seite<\/a>, Ausz\u00fcge sind bei Tenable<\/a> abrufbar. Amol Sarwate, Leiter der Sicherheitsforschung und des REDLab bei Cohesity sagt zu obigen Schwachstellen:<\/p>\n \"Die beiden Sicherheitsl\u00fccken CVE-2026-40361\/40364 im Vorschaufenster von Microsoft Office Word erfordern keine Benutzerinteraktion und k\u00f6nnen Remote ausgel\u00f6st werden, indem einfach ein sch\u00e4dliches Dokument per E-Mail versendet wird. Das Lesebereich von Outlook ist seit langem ein g\u00e4ngiger Angriffsvektor; eine einzige eingehende E-Mail kann die Ausnutzung der Schwachstelle ausl\u00f6sen, ohne dass der Benutzer sie jemals \u00f6ffnet. Dar\u00fcber hinaus handelt es sich bei CVE-2026-40369, mit der Ausnutzbarkeitsbewertung 'eher wahrscheinlich', um eine Windows-Kernel-EoP-Schwachstelle (Elevation of Privilege). In der Vergangenheit wurden diese Arten von Schwachstellen von Ransomware und APT genutzt, um durch Phishing oder gestohlene Anmeldedaten erlangte geringe Berechtigungen auf die vollst\u00e4ndige Kontrolle \u00fcber den Host auszuweiten.\"<\/p><\/blockquote>\n Von Talos liegt mir noch keine Kommentierung der Schwachstellen vor (trage ich nach, sobald ich die Information habe). Erg\u00e4nzung:<\/strong> Auch Talos hat inzwischen diesen Artikel<\/a> mit einigen Hinweisen zu weiteren Schwachstellen ver\u00f6ffentlicht. Hier m\u00f6chte ich folgende Schwachstellen hervorheben, die \"unsch\u00f6n\" sind.<\/p>\n Beide Schwachstellen implizieren, dass die Systeme umgehend gepatcht werden, um beide L\u00fccken zu schlie\u00dfen.<\/p>\n \u00c4hnliche Artikel:<\/strong> Windows 11: Dell best\u00e4tigt Probleme des Support Assist (Mai 2026)<\/a> Microsoft hat am 12. Mai 2026 Sicherheitsupdates f\u00fcr Windows-Clients und -Server, f\u00fcr Office – sowie f\u00fcr weitere Produkte\u00a0 – ver\u00f6ffentlicht. Die Sicherheitsupdates beseitigen 118 Schwachstellen (CVEs – laut Microsoft sogar 137), 16 kritisch, 0 davon wurden als 0-day klassifiziert (keiner … Weiterlesen Eine Liste der Updates finden Sie auf dieser Microsoft-Seite<\/a>. Details zu den Update-Paketen f\u00fcr Windows, Office etc. sind in separaten Blogbeitr\u00e4gen verf\u00fcgbar.<\/p>\n
Windows 10\/11, Windows Server<\/h3>\n
Windows Server 2012 R2<\/h3>\n
Gefixte Schwachstellen<\/h2>\n
\n
\n
\nCVSS 3.1 Base-Score 9.8; kritisch, Es handelt sich um eine kritische, auf einem Heap-\u00dcberlauf basierende Sicherheitsl\u00fccke im Windows-DNS-Client. Ein Angreifer k\u00f6nnte diese Sicherheitsl\u00fccke ausnutzen, indem er eine speziell gestaltete DNS-Antwort an ein anf\u00e4lliges Windows-System sendet, wodurch der DNS-Client die Antwort fehlerhaft verarbeitet und Speicher besch\u00e4digt. Unter bestimmten Konfigurationen k\u00f6nnte dies dem Angreifer erm\u00f6glichen, ohne Authentifizierung aus der Ferne Code auf dem betroffenen System auszuf\u00fchren.<\/li>\n<\/ul>\n
\nMicrosoft Security Update Summary<\/a> (12. Mai 2026)
\nPatchday: Windows 10\/11 Updates<\/a> (12. Mai 2026)
\nPatchday: Windows Server-Updates<\/a>\u00a0(12. Mai 2026)
\nPatchday: Microsoft Office Updates<\/a> (12. Mai 2026)<\/p>\n
\nWindows 11: Dell Support Assist verursacht BSOD mit Updates (Mai 2026)<\/a>
\nPatchday-Nachlese (Mai 2026): Probleme mit Windows 11 und mehr<\/a>
\nWindows Server 2019: Macht Update KB5087538 Probleme mit Citrix Worker und RDP?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"