Microsoft hat am 14. Mai Sicherheitsupdates für Azure, Edge, Office und Windows veröffentlicht und dabei fast 140 Sicherheitsprobleme behoben. Unter den als kritisch eingestuften Lücken ist CVE-2026-41096, ein Windows-DNS-Client-Fehler, der sich über eine präparierte DNS-Anfrage ohne Authentifizierung ausnutzen lässt.
Die Schwachstelle kann Speicherfehler auslösen und dazu führen, dass bösartiger Code auf einen Computer gelangt. Betroffen sind verschiedene Windows-11- und Server-Editionen. Microsoft sagte zudem, dass ein großer Teil der Lücken mit mehreren KI-Agenten entdeckt worden sei, und verwies auf den umfassenden Charakter von Kb5089549, das auch Azure, M365, Office, SharePoint und Word betrifft.
Eine weitere zentrale Lücke, CVE-2026-42826 in Azure DevOps, wurde laut Microsoft serverseitig geschlossen und gilt mit dem höchsten CVSS-Wert als das gefährlichste Problem dieses Patchdays. Weitere genannte Schwachstellen sind CVE-2026-33109 und CVE-2026-42898. Berichte über laufende Angriffe gab es nach den vorliegenden Informationen nicht, doch Microsoft drängt Administratoren dazu, Windows Update aktiviert zu lassen und Systeme auf dem neuesten Stand zu halten.
Für Unternehmen und Privatnutzer bleibt die Lage damit klar: Die Updates sollen nicht nur einzelne Fehler beseitigen, sondern gleich mehrere Angriffsflächen schließen, bevor sie in freier Wildbahn zum Problem werden. Besonders bei einem DNS-Client-Fehler, der ohne Anmeldung über einen gezielten Request angestoßen werden kann, ist das Zeitfenster für Gegenmaßnahmen kurz.
