Microsoft hat wichtige Sicherheitsupdates für Azure, Edge, Office und Windows veröffentlicht und dabei mehrere Schwachstellen als kritisch eingestuft. Nach Angaben des Unternehmens könnten Angreifer in vielen Fällen bösartigen Code auf Rechner bringen und Systeme vollständig übernehmen. Für die Lücke CVE-2026-42826 in Azure DevOps vergab Microsoft die Höchstwertung von 10 von 10 Punkten. Die Schwachstelle wurde serverseitig gepatcht.
Zu den weiteren kritischen Fehlern zählen CVE-2026-33109 in Azure Managed Instance for Apache Cassandra, CVE-2026-42898 in Microsoft Dynamics 365 On-Premises und CVE-2026-41096 im DNS-Client von Windows. Im DNS-Client-Fall können nicht authentifizierte Angreifer aus der Ferne über eine präparierte DNS-Anfrage eine Speicherbeschädigung auslösen; betroffen sind verschiedene Windows-11- und Server-Versionen. Microsoft teilte mit, dass es bislang keine Hinweise gebe, wonach Angreifer die Schwachstellen bereits aktiv ausnutzen.
Die Updates schließen Microsofts Angaben zufolge fast 140 Sicherheitsprobleme auf diesem Patchday. Ein großer Teil der Schwachstellen sei mit Hilfe mehrerer KI-Agenten entdeckt worden. Die Verteilung der Fehler über Azure, M365, Office, SharePoint, Windows und Word zeigt, wie breit die Angriffsfläche inzwischen geworden ist. Für Administratoren heißt das vor allem, dass Windows Update aktiv sein und die Systeme auf dem neuesten Stand bleiben sollten; weitere Details stehen im Security Update Guide von Microsoft.
Gerade die Kombination aus breiter Betroffenheit und kritischen Einstufungen macht den Patchday für Unternehmen und Privatnutzer zugleich dringend und technisch heikel. Dass Microsoft nach eigenen Angaben noch keine aktive Ausnutzung beobachtet hat, verschafft nur ein kurzes Zeitfenster. Wer die Updates jetzt zurückstellt, lässt Systeme mit einer Angriffsfläche laufen, die sich im schlimmsten Fall ohne Login und mit wenig Aufwand missbrauchen lässt.
