Juli-Patchday: Microsoft schließt Rekord von 622 Sicherheitslücken
Veröffentlicht: 15.07.2026 um 10:52 Uhr, Redaktion boerse-global.de
Mit 622 behobenen Sicherheitslücken verdreifacht der Konzern den erst im Juni aufgestellten Rekord. Darunter befinden sich zwei Schwachstellen, die von Angreifern bereits aktiv ausgenutzt wurden.
Die schiere Menge der gemeldeten Schwachstellen (CVEs) hat in diesem Jahr bereits alle jährlichen Gesamtzahlen der Vergangenheit übertroffen. Branchenexperten rechnen für 2026 mit insgesamt über 3.000 gemeldeten Lücken – ein alarmierender Trend für Unternehmen und Privatanwender gleichermaßen.
Zwei aktiv ausgenutzte Zero-Day-Lücken
Besonders brisant: Zwei Schwachstellen wurden bereits vor der Veröffentlichung der Sicherheitsupdates von Hackern missbraucht. Die erste, CVE-2026-56155, betrifft den Active Directory Federation Services (AD FS) und erlaubt eine Rechteausweitung. Die zweite, CVE-2026-56164, ist eine Sicherheitslücke in SharePoint Server, die es nicht authentifizierten Angreifern ermöglicht, aus der Ferne erweiterte Berechtigungen zu erlangen.
Hinzu kommt eine öffentlich bekannt gewordene Schwachstelle in BitLocker (CVE-2026-50661). Sie erlaubt die Umgehung von Sicherheitsfunktionen – allerdings nur, wenn der Angreifer physischen Zugriff auf das Gerät hat.
Kritische Schwachstellen mit Höchstwerten
Zwischen 58 und 63 der behobenen Lücken stuft Microsoft als kritisch ein. Die schwerwiegendsten:
- Eine Code-Ausführung aus der Ferne (RCE) in Microsoft Copilot mit einem CVSS-Wert von 9,6
- Eine hochriskante Cross-Site-Scripting-Lücke in Exchange Server
- Eine Schwachstelle im Windows VMSwitch (CVE-2026-57092) mit einem fast maximalen CVSS-Wert von 9,9
KI-gestützte Erkennung als Treiber der Rekordzahlen
Der sprunghafte Anstieg der gemeldeten Schwachstellen ist kein Zufall. Microsoft setzt zunehmend auf KI-gestützte Scan-Tools, bekannt als MDASH. Diese Systeme beschleunigen die Erkennung und Kategorisierung von Sicherheitslücken massiv. Die Kehrseite: IT-Abteilungen stehen vor enormen Herausforderungen bei der Priorisierung. Sie müssen nun genau abwägen, welche Updates aufgrund der tatsächlichen Ausnutzbarkeit und des individuellen Risikos vorrangig eingespielt werden müssen.
Angesichts der rasant steigenden Zahl an Sicherheitslücken ist ein stabiles und aktuell gepatchtes Betriebssystem wichtiger denn je. Dieser kostenlose Expertenreport zeigt Ihnen, wie Sie typische Update-Fehler und Systemprobleme unter Windows 11 in wenigen Minuten selbst beheben. 5 häufige Windows-Fehler sofort selbst lösen
Windows-Updates und Neuerungen
Der Großteil der Patches entfällt mit 416 behobenen Lücken auf Windows-Systeme. Für Windows 11 veröffentlichte Microsoft die kumulativen Updates KB5101650 und KB5099414. Sie bringen nicht nur Sicherheitsfixes, sondern auch Verbesserungen:
- Schnellere Performance des Datei-Explorers
- Höhere Zuverlässigkeit von Bluetooth-Verbindungen
- Auslieferung eines neuen Secure-Boot-Zertifikats
Infrastruktur-Änderungen: Das Ende von RC4
Mit den Juli-Updates leitet Microsoft die finale Phase der Härtung des Kerberos-Authentifizierungsprotokolls ein. Die AES-Verschlüsselung wird nun erzwungen, der Fallback-Schalter für den veralteten RC4-Algorithmus wurde entfernt. Unternehmen, die noch auf RC4-basierte Authentifizierung setzen, müssen nach dem Update mit Service-Unterbrechungen rechnen.
Während Microsoft die Sicherheitsanforderungen für moderne Systeme stetig verschärft, stehen viele Nutzer vor technischen Hürden. IT-Experte Manfred Kratzl erklärt in seinem Gratis-Ratgeber, wie Sie den Umstieg auf ein sicheres Windows 11 auch dann meistern, wenn Ihre Hardware als inkompatibel gilt. Kostenlosen Leitfaden für das Windows 11 Upgrade sichern
SharePoint: Support-Ende und unvollständiger Patch
Der Patchday fällt mit dem Ende des erweiterten Supports für SharePoint Server 2016 und 2019 zusammen. Sicherheitsforscher von Rapid7 entdeckten zudem eine zweistufige RCE-Angriffskette in SharePoint. Während der erste Teil mit diesem Update geschlossen wurde, bleibt der zweite Teil voraussichtlich bis August ungepatcht.
Auch andere Hersteller legen nach
Microsoft ist nicht allein mit umfangreichen Sicherheitsupdates. Auch andere Technologiekonzerne veröffentlichten zeitgleich wichtige Patches:
- Adobe schloss 88 Schwachstellen, darunter eine kritische Path-Traversal-Lücke in ColdFusion (CVSS 9,9)
- SAP veröffentlichte Updates für kritische Speicherfehler in NetWeaver und Schwachstellen in der Approuter-Komponente
- Cisco, Broadcom und Oracle erhöhten ebenfalls ihr Patch-Tempo, um der wachsenden Zahl von Sicherheitslücken Herr zu werden
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
