Sicherheitsexperten schlagen Alarm: Der Juni-Patchday von Microsoft hat mit über 200 behobenen Schwachstellen einen neuen Negativrekord aufgestellt. Nutzer sollten ihre Systeme umgehend aktualisieren.
Browser in Gefahr: Dringendes Update für Microsoft Edge
Das Hongkonger Computer Emergency Response Team (HKCERT) warnte heute vor mehreren kritischen Sicherheitslücken in Microsoft Edge. Betroffen sind alle Versionen älter als 149.0.4022.53. Die Schwachstellen mit den Bezeichnungen CVE-2026-10883 und CVE-2026-10892 ermöglichen Angreifern unter anderem das Ausführen von Schadcode aus der Ferne oder die Umgehung von Sicherheitsmechanismen.
Anzeige: Der Juni-Patchday mit 206 Schwachstellen ist ein neuer Negativrekord – darunter drei Zero-Days und eine ungepatchte RoguePlanet-Lücke. Wer jetzt nicht priorisiert, riskiert Systemkompromittierung. Dieser kostenlose Report liefert eine konkrete Patch-Priorisierungs-Checkliste und einen Zero-Day-Notfallplan. Jetzt kostenlosen Report anfordern
Obwohl Microsoft bereits am 4. Juni eine stabile Version auslieferte, gilt diese inzwischen als veraltet. Nutzer sollten zwingend auf die aktuelle Version .53 oder neuer wechseln.
Rekordjagd der anderen Art: 206 Schwachstellen an einem Tag
Am 9. Juni veröffentlichte Microsoft sein Patch Tuesday für Juni 2026 – und übertraf damit alle bisherigen Maßstäbe. Ganze 206 Sicherheitslücken wurden geschlossen, mehr als 30 davon als kritisch eingestuft. Der bisherige Rekord lag bei 170 Lücken im Oktober 2025.
Besonders brisant: Drei der Schwachstellen waren bereits öffentlich bekannt, bevor Microsoft sie schließen konnte – sogenannte Zero-Day-Lücken. Glücklicherweise wurden sie bislang nicht aktiv ausgenutzt:
- CVE-2026-45586 („GreenPlasma“): Ein Fehler im Windows Collaborative Translation Framework, der lokale Rechteausweitung bis zur SYSTEM-Ebene erlaubt.
- CVE-2026-49160 („HTTP/2 Bomb“): Eine Denial-of-Service-Lücke in HTTP.sys.
- CVE-2026-50507 („YellowKey“): Eine Umgehung von Sicherheitsfunktionen in BitLocker bei physischem Zugriff auf das Gerät.
Die Gesamtzahl der 2026 entdeckten Sicherheitslücken hat bereits das Niveau des gesamten Jahres 2018 übertroffen. Branchenkenner führen diesen Anstieg unter anderem auf den zunehmenden Einsatz Künstlicher Intelligenz in der Schwachstellenforschung zurück.
Notfall-Patches und neue Bedrohungen
Die Lage wird zusätzlich durch einen Notfall-Patch von Google verschärft. Am 9. Juni veröffentlichte der Konzern einen Fix für eine aktiv ausgenutzte Chrome-Zero-Day-Lücke (CVE-2026-11645) in der V8-Engine. Es ist bereits der fünfte Chrome-Zero-Day in diesem Jahr. Da Microsoft Edge auf der Chromium-Engine basiert, enthalten die Juni-Updates rund 360 Korrekturen aus dem Chromium-Projekt.
Parallel dazu veröffentlichte der Sicherheitsforscher Nightmare Eclipse am 9. und 10. Juni einen Proof-of-Concept-Exploit namens RoguePlanet. Dieser nutzt eine Race-Condition in Microsoft Defender aus, um auf vollständig gepatchten Windows-10- und -11-Systemen SYSTEM-Rechte zu erlangen. Zwar schloss Microsoft zwei andere vom selben Forscher gemeldete Lücken im Juni-Update, einen spezifischen Patch für RoguePlanet gibt es bislang nicht.
Anzeige: Social-Engineering-Angriffe mit gefälschtem Microsoft-Support haben bereits 1,7 Millionen Euro Schaden verursacht. Gleichzeitig steigt die Zahl der Schwachstellen rasant – allein im Juni 206. Schützen Sie Ihr Unternehmen mit 5 konkreten Maßnahmen gegen diese unterschätzte Gefahr. So schützen Sie sich jetzt
Die unterschätzte Gefahr: Falscher Microsoft-Support
Neben technischen Sicherheitslücken bereiten Sozialtechnik-Angriffe zunehmend Kopfzerbrechen. Seit Februar 2026 haben Betrüger mit gefälschten Microsoft-Support-Anrufen mindestens 1,7 Millionen Euro erbeutet. Die Masche: Browser-Pop-ups imitieren offizielle Sicherheitswarnungen und fordern Nutzer auf, eine Telefonnummer anzurufen. Die Betrüger verschaffen sich dann Fernzugriff oder verlangen Zahlungen per Geschenkkarte oder Überweisung.
Microsoft stellt klar: Echte Sicherheitswarnungen fordern niemals dazu auf, eine Telefonnummer anzurufen.
