Microsoft-Patch, Sicherheitslücken

Microsoft-Patch: 622 Sicherheitslücken geschlossen, drei bereits ausgenutzt

Veröffentlicht: 16.07.2026 um 08:36 Uhr, Redaktion boerse-global.de

Microsofts größtes Patch-Update schließt 622 Lücken, darunter drei Zero-Day-Exploits. Zwei Schwachstellen wurden bereits aktiv von Angreifern genutzt.

Microsoft stopft Rekordzahl von 622 Sicherheitslücken im Juli-Update
Nahaufnahme einer Laptop-Tastatur mit leuchtenden Codezeilen auf dem Bildschirm und subtiler Spiegelung eines Schloss-Symbols. Illustration mit AI erstellt übermittelt durch boerse-global.de

Der Software-Riese stopft mit einem Schlag Hunderte Sicherheitslücken – drei davon wurden bereits von Angreifern ausgenutzt.

Redmond. Microsoft hat am Dienstag sein bislang umfangreichstes Sicherheitsupdate veröffentlicht. Insgesamt 622 Schwachstellen wurden im Rahmen des monatlichen „Patch Tuesday" geschlossen. Sicherheitsexperten führen die Rekordzahl unter anderem auf den vermehrten Einsatz von Künstlicher Intelligenz bei der Suche nach Sicherheitslücken zurück.

Drei Zero-Day-Exploits – zwei bereits aktiv ausgenutzt

Besonders brisant: Zwei der Schwachstellen wurden bereits von Angreifern aktiv genutzt. Betroffen sind der Active Directory Federation Services (AD FS) sowie Microsoft SharePoint. Die Sicherheitslücken tragen die Kennungen CVE-2026-56155 und CVE-2026-56164. Ein dritter Zero-Day-Exploit (CVE-2026-50661) ermöglicht einen BitLocker-Bypass und war bereits vor dem Patch öffentlich bekannt geworden.

Die US-amerikanische Cybersicherheitsbehörde CISA hat die ausgenutzten Lücken in ihren Katalog bekannter Sicherheitslücken aufgenommen. Bundesbehörden müssen den SharePoint-Fehler bis zum 17. Juli beheben, die AD-FS-Lücke bis zum 28. Juli.

Anzeige

Angesichts von über 600 geschlossenen Sicherheitslücken wird deutlich, wie verwundbar klassische Login-Methoden heute sind. Dieser kostenlose Report zeigt, wie Sie mit der neuen Passkey-Technologie Ihre Konten bei Microsoft, Amazon und Co. endlich hacker-sicher machen. Passkey-Ratgeber jetzt kostenlos herunterladen

Mehrere Schwachstellen erhielten die höchste Dringlichkeitsstufe mit einem CVSS-Score von über 9,0. Dazu gehört eine Windows-VMSwitch-VM-Escape mit der Wertung 9,9 sowie eine Sicherheitslücke in Microsoft Copilot, die eine Code-Ausführung aus der Ferne ermöglicht (Wertung 9,6). Auch ein schwerwiegender Heap-Overflow in Word (CVE-2026-55127) bereitet Sicherheitsexperten Sorgen: Bereits die Vorschau eines manipulierten Dokuments kann zur Übernahme des Systems führen.

Office-Update und Sicherheitswarnungen aus Niedersachsen

Microsoft hat zudem ein spezifisches Update für Office 2016 (KB5002887) veröffentlicht, das mehrere Schwachstellen für Code-Ausführung und Informationsweitergabe schließt. Auch Excel und Word in verschiedenen Versionen – einschließlich Microsoft 365 Apps und LTSC 2024 – wurden von Heap-Overflows und Out-of-Bounds-Read-Fehlern bereinigt.

Das niedersächsische Finanzministerium warnt derweil vor einer neuen Phishing-Welle. Kriminelle verschicken gefälschte Steuerprüfungsbescheide und locken Empfänger zur Eingabe von Passwörtern über HTML-Anhänge.

Anzeige

Allein in Deutschland werden pro Quartal Millionen Konten gehackt, oft weil Passwörter durch Phishing-Mails entwendet wurden. Erfahren Sie in diesem Leitfaden, wie Sie sich per Fingerabdruck oder Gesichtserkennung anmelden und Passwörter für immer überflüssig machen. Nie wieder Passwort-Stress: So funktionieren Passkeys

Ende der Ära: Microsoft setzt auf Passkeys

Neben den Sofortmaßnahmen kündigte Microsoft grundlegende Änderungen im Identitätsmanagement an. Ab dem 1. September 2026 werden Passkeys zum Standard für die Authentifizierung bei Microsoft Entra ID. SMS- und sprachbasierte Zwei-Faktor-Authentifizierung sollen bis zum 1. Februar 2027 vollständig abgeschafft werden. Das Unternehmen setzt damit auf phishing-resistentere Verfahren.

Digitale Souveränität als Trend

Im Softwaremarkt zeichnet sich eine Gegenbewegung ab. Die mitteldeutsche IT GmbH hat ihre Plattform mIT Office um Groupware-Funktionen erweitert. Das Unternehmen setzt auf Datensouveränität durch den Betrieb in deutschen Rechenzentren und verspricht 99,7 Prozent Kompatibilität mit Microsoft-365-Umgebungen. Dieses Thema steht auch im Mittelpunkt der kommenden Public-IT-Konferenz in Hannover am 28. und 29. Oktober 2026.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69777982 |