Microsoft Juli-Patch: 622 Sicherheitslücken – Rekord und zwei aktive Zero-Days
Veröffentlicht: 15.07.2026 um 13:52 Uhr, Redaktion boerse-global.de
Der Juli-Patch schließt insgesamt 622 Schwachstellen – mehr als je zuvor in einem einzelnen Update.
Kritische Lücken in Office und Windows
Besonders im Fokus stehen mehrere Sicherheitslücken in Microsoft Office. Die Schwachstellen CVE-2026-55121 und CVE-2026-55045 ermöglichen Angreifern das Auslesen von Speicherbereichen. Solche "Out-of-Bounds-Read"-Fehler können sensible Daten preisgeben, die sich im Arbeitsspeicher befinden. Der CVSS-Score von 5,5 stuft sie als mittelschwer ein – dennoch sollten Unternehmen die Patches zeitnah einspielen.
Neben diesen Informationsoffenlegungs-Lücken hat Microsoft auch gefährlichere Office-Fehler behoben: Heap-basierte Pufferüberläufe (CVE-2026-50301, CVE-2026-55140) und Use-After-Free-Schwachstellen (CVE-2026-47290, CVE-2026-50467) wurden ebenfalls geschlossen. Die entsprechenden Knowledge-Base-Updates tragen die Nummern KB5002887 und KB5002748.
Drei Zero-Day-Lücken – zwei bereits aktiv ausgenutzt
Besondere Dringlichkeit haben drei als kritisch eingestufte Zero-Day-Schwachstellen. Zwei davon werden bereits aktiv von Angreifern ausgenutzt:
- CVE-2026-56155 betrifft die Active Directory Federation Services (AD FS) und ermöglicht eine Rechteausweitung.
- CVE-2026-56164 ist ein SharePoint-Fehler, der ebenfalls eine Rechteausweitung erlaubt – und das von nicht authentifizierten Angreifern aus der Ferne.
Die US-amerikanische Cybersicherheitsbehörde CISA hat beide Lücken bereits in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen. Unternehmen sollten diese Patches priorisieren.
Windows-Updates und Sicherheitslücken wie die aktuell gemeldeten Zero-Day-Fehler sorgen bei vielen Nutzern für Verunsicherung. IT-Experte Manfred Kratzl zeigt in seinem kostenlosen Report, wie Sie typische Fehler und Update-Probleme unter Windows 11 stressfrei selbst beheben können. Kostenlosen Sicherheits-Ratgeber jetzt herunterladen
Eine dritte Zero-Day-Lücke (CVE-2026-50661) betrifft BitLocker. Sie erfordert allerdings physischen Zugriff auf das Gerät und wurde öffentlich bekannt gemacht, ohne dass bisher Ausnutzungen gemeldet wurden.
KI-gestützte Fehlersuche treibt Rekordzahlen
Der Juli-Patch übertrifft die 206 Korrekturen vom Juni um das Dreifache. Rund 62 der 622 Schwachstellen gelten als kritisch. Hochgerechnet könnte Microsoft in diesem Jahr die Marke von 2.000 bis 3.000 gemeldeten Sicherheitslücken überschreiten – ein neuer Negativrekord.
Sicherheitsexperten führen diesen Anstieg auf Microsofts KI-gestütztes Bug-Hunting-System namens MDASH zurück. Die automatisierte Fehlersuche hat die Identifizierung von Sicherheitslücken massiv beschleunigt. Allein auf Windows entfallen 416 Korrekturen, auf Office zwischen 82 und 164 – je nach Produktkonfiguration.
Weitere kritische Produkte betroffen
Der Juli-Update-Tag betrifft nicht nur Office und Windows. Auch andere zentrale Unternehmensprodukte wurden mit Patches versorgt:
- Windows VMSwitch (CVE-2026-57092): Ein Fehler mit einem CVSS-Score von 9,9 ermöglicht Remote-Code-Ausführung.
- Exchange Server und DHCP Server: Auch hier wurden hochriskante Lücken geschlossen.
- Microsoft Copilot (CVE-2026-48561): Eine kritische Schwachstelle, die ebenfalls Remote-Code-Ausführung erlaubt.
- SharePoint Server: Mehrere Sicherheitslücken, darunter solche, die das Ende des erweiterten Supports betreffen.
Angesichts der massiven Zunahme an kritischen Sicherheitslücken ist ein stabiles und aktuelles Betriebssystem wichtiger denn je. Wie Sie den Wechsel auf das moderne Windows 11 ohne Risiko für Ihre Daten und Programme meistern, erfahren Sie Schritt für Schritt in diesem Gratis-Report. Sicherer Umstieg auf Windows 11: Gratis-Report sichern
Auch andere Hersteller liefern Updates
Parallel zu Microsoft haben auch andere große Softwareanbieter Sicherheitsupdates veröffentlicht. Adobe schloss 64 Schwachstellen in sieben Produkten. SAP brachte 16 Updates, darunter einen kritischen Fix für einen Speicherfehler in NetWeaver.
Sicherheitsforscher raten Unternehmen, die Patches nicht nach CVSS-Score zu priorisieren, sondern nach aktivem Ausnutzungsgrad. Die SharePoint- und AD-FS-Lücken stehen derzeit ganz oben auf der Liste.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
