Microsoft und Adobe kämpfen mit Rekordzahl an Sicherheitslücken

** Microsoft, Adobe und andere Anbieter veröffentlichen Notfall-Patches für aktiv ausgenutzte Schwachstellen. Gleichzeitig zeigen Datenlecks bei Booking.com und Basic-Fit die wachsende Gefahr durch gezielte Telefon-Angriffe.

Microsoft-Patchday: 167 Schwachstellen, zwei Zero-Days

Heute, am 14. April 2026, hat Microsoft seinen monatlichen Sicherheitsupdate veröffentlicht. Mit etwa 167 behobenen Schwachstellen ist es einer der umfangreichsten Patches in der Unternehmensgeschichte. Acht der Lücken gelten als kritisch, sieben davon ermöglichen die Ausführung von Fremdcode aus der Ferne (Remote Code Execution) in Kernsystemen wie Windows TCP/IP und der Active Directory.

Angesichts von über 160 neuen Sicherheitslücken wird deutlich, wie verwundbar herkömmliche Anmeldeverfahren heute sind. Dieser kostenlose Report zeigt, wie Sie mit Passkeys eine sicherere Alternative zu Passwörtern bei Amazon, Microsoft und WhatsApp einrichten. Was steckt hinter der neuen Passkey-Technologie?

Besonders brisant sind zwei bereits ausgenutzte Zero-Day-Lücken. CVE-2026-32201 erlaubt Angreifern, über Microsoft SharePoint Server schädliche Skripte einzuschleusen. Die zweite, CVE-2026-33825, betrifft die Microsoft Defender Antimalware-Plattform und könnte Angreifern erhöhte Systemrechte verschaffen. Hinzu kommen fast 30 Schwachstellen, die den Secure-Boot-Schutz umgehen können.

Adobe: Notfall-Patch für ausgenutzte PDF-Lücke

Bereits vor dem Microsoft-Update reagierte Adobe mit einem Notfall-Patch. Das Unternehmen schloss eine kritische Lücke (CVE-2026-34621) in Acrobat und Acrobat Reader, die seit Ende 2025 in gezielten Angriffen ausgenutzt wird. Dabei manipulieren in PDF-Dateien eingebettete JavaScript-Codes das System, um Schadsoftware auszuführen oder lokale Dateien auszulesen.

Die US-Cybersicherheitsbehörde CISA hat die Schwachstelle auf ihre Liste der bekannt ausgenutzten Lücken gesetzt. Bundesbehörden und Unternehmen, die mit der US-Regierung zusammenarbeiten, müssen den Patch bis Ende April einspielen.

Datenlecks bei Booking.com und Basic-Fit befeuern Telefon-Betrug

Parallel zu den Software-Updates meldeten große Dienstleister schwere Sicherheitsvorfälle. Die Reiseplattform Booking.com bestätigte gestern, dass Unbefugte auf sensible Buchungsdaten – inklusive Namen, E-Mail-Adressen und Telefonnummern – zugegriffen haben. Das Unternehmen hat PINs für betroffene Reservierungen zurückgesetzt.

Ebenfalls diese Woche gab die niederländische Fitnesskette Basic-Fit bekannt, dass Daten von rund einer Million Mitgliedern gestohlen wurden. Sicherheitsexperten warnen: Gerade gestohlene Telefonnummern in Kombination mit persönlichen Details wie Reiseplänen sind Gold wert für Betrüger. Sie nutzen sie für hochprofessionelle „Vishing“-Anrufe (Voice Phishing), bei denen sie sich als Support-Mitarbeiter ausgeben, um an Finanzinformationen oder Zwei-Faktor-Codes zu gelangen.

Allein in Deutschland werden pro Quartal rund 4,7 Millionen Online-Konten gehackt, oft durch die Ausnutzung klassischer Passwörter. Erfahren Sie in diesem Gratis-Ratgeber der Experten von Computerwissen, wie Sie Ihre Konten durch passwortloses Einloggen endlich hacker-sicher machen. Kostenlosen Passkey-Report jetzt anfordern

Druck auf Unternehmen wächst: Weg von SMS als Sicherheitsfaktor

Die Häufung von Software-Lücken und sozialer Manipulation per Telefon führt zu einer klaren Forderung von Cybersicherheitsexperten und Behörden: Unternehmen müssen sich von der telefonbasierten Zwei-Faktor-Authentifizierung (2FA) verabschieden. Selbst fortgeschrittene Vishing-Kampagnen setzen mittlerweile KI ein, um Stimmen von Führungskräften zu klonen.

Die Zukunft liege in phishing-resistenten Standards wie FIDO2 und physischen Sicherheitsschlüsseln. Einmal-Passwörter per SMS (SMS-OTP) gelten als zunehmend anfällig für Abfang-Angriffe und geschickte Social Engineering.

Ausblick: Professionelle Phishing-Märkte und regulatorischer Druck

Für IT-Abteilungen hat die schnelle Installation der Patches für SharePoint und Adobe Reader jetzt oberste Priorität. Langfristig zeichnet sich ein Trend zur Professionalisierung der Cyberkriminalität ab: „Phishing-as-a-Service“-Angebote automatisieren zunehmend die Nachbildung von Login-Seiten.

Marktbeobachter erwarten in den kommenden Monaten einen stärkeren regulatorischen Druck auf Telekommunikations- und Service-Anbieter, die Sicherheit mobil verknüpfter Konten zu erhöhen. Die aktuelle Update-Welle zeigt: Die Absicherung von Endgeräten ist nur die halbe Miete. Eine moderne Verteidigungsstrategie muss auch die menschliche Schwachstelle in der telefonbasierten Kommunikation miteinbeziehen.

de | boerse | 69151513 |