Microsoft Patchday: Kritische DNS-Client-Lücke gefährdet Windows-Systeme

Microsoft hat im Rahmen des aktuellen Patchdays knapp 140 Sicherheitslücken geschlossen. Als „kritisch“ eingestufte Schwachstellen bedrohen unter anderem Azure, Microsoft 365, Office, SharePoint, Windows und Word. In vielen Fällen können Angreifer Schadcode auf Rechner einschleusen und Systeme vollständig kompromittieren.

Administratoren sollten sicherstellen, dass die Windows-Update-Funktion aktiviert ist und alle Systeme auf dem neuesten Patchstand laufen. Andernfalls bleiben Rechner verwundbar. Bislang liegen keine Berichte vor, dass Angreifer die Schwachstellen bereits aktiv ausnutzen.

Als besonders bedrohlich gilt eine „kritische“ Lücke mit der höchsten CVSS-Bewertung 10 von 10 in Azure DevOps (CVE-2026-42826). Angreifer können hier auf nicht näher beschriebene Weise auf eigentlich geschützte Informationen zugreifen. Microsoft hat die Schwachstelle serverseitig geschlossen; Admins müssen nichts unternehmen.

Weitere „kritische“ Sicherheitslücken betreffen unter anderem Azure Managed Instance for Apache Cassandra (CVE-2026-33109), Microsoft Dynamics 365 On-Premises (CVE-2026-42898) sowie den DNS-Client in Windows (CVE-2026-41096).

Bei der DNS-Client-Lücke können entfernte Angreifer ohne Authentifizierung durch eine präparierte DNS-Anfrage Speicherfehler auslösen. Dadurch gelangt Schadcode auf die betroffenen Computer. Verschiedene Ausgaben von Windows 11 und Windows Server sind verwundbar.

Insgesamt hat Microsoft an diesem Patchday 140 Sicherheitsprobleme behoben. In einem begleitenden Beitrag gibt das Unternehmen an, dass ein Großteil der Schwachstellen mithilfe mehrerer KI-Agenten entdeckt wurde.

Weiterführende Informationen zu den einzelnen Sicherheitslücken und den betroffenen Softwareversionen stellt Microsoft im Security Update Guide zur Verfügung.