{"id":193,"date":"2026-06-18T06:00:00","date_gmt":"2026-06-18T06:00:00","guid":{"rendered":"https:\/\/shattered.io\/de\/?p=193"},"modified":"2026-06-18T08:24:08","modified_gmt":"2026-06-18T08:24:08","slug":"microsoft-patch-tuesday-juni-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/de\/microsoft-patch-tuesday-juni-2026\/","title":{"rendered":"Microsoft Patch Tuesday Juni 2026: 204 L\u00fccken, 3 Zero-Days [2026]"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Microsoft hat am 9. Juni 2026 seinen monatlichen Patch Tuesday ver\u00f6ffentlicht und dabei <strong>204 Sicherheitsl\u00fccken<\/strong> in einem einzigen Update-Zyklus geschlossen. Damit bricht das Unternehmen seinen eigenen Rekord aus dem April 2026 (167 Schwachstellen) und stellt den historisch gr\u00f6\u00dften Patch Tuesday seit Einf\u00fchrung des Programms im Oktober 2003 auf. F\u00fcr IT-Administratoren in Deutschland, \u00d6sterreich und der Schweiz ergibt sich daraus dringender Handlungsbedarf, insbesondere wegen drei \u00f6ffentlich bekannter Zero-Days und einer Windows-Kernel-Schwachstelle mit CVSS-Score 9.8.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"rekordmonat-204-sicherheitsluecken-in-einem-einzigen-update-zyklus\">Rekordmonat: 204 Sicherheitsl\u00fccken in einem einzigen Update-Zyklus<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die genaue Zahl der im Juni 2026 behobenen Schwachstellen variiert je nach Z\u00e4hlmethode und Anbieter. Das deutsche Sicherheitsportal All-about-Security berichtet von <strong>204 Schwachstellen<\/strong>. CyberScoop z\u00e4hlt 206, das Trend Micro Zero Day Initiative (ZDI) Team kommt auf 208, w\u00e4hrend Tenable nach eigener Klassifikation 198 L\u00fccken ausweist. Einigkeit herrscht bei der Kernaussage: Es handelt sich um das gr\u00f6\u00dfte Patch Tuesday in der 23-j\u00e4hrigen Geschichte des Programms.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Verteilung der Schwachstellentypen zeigt, wie breit das Angriffsspektrum im Juni ausfiel. Mit <strong>65 Privilege-Escalation-L\u00fccken<\/strong> (EoP) und <strong>55 Remote-Code-Execution-Schwachstellen<\/strong> (RCE) stehen fast 60 Prozent aller behobenen L\u00fccken f\u00fcr die gef\u00e4hrlichsten Angriffskategorien. RCE-L\u00fccken erlauben Angreifern, eigenen Code auf fremden Systemen auszuf\u00fchren. EoP-Schwachstellen erm\u00f6glichen es, bereits erlangten Zugang auf h\u00f6here Rechte auszuweiten. Zusammen bilden sie die klassische Angriffskette: Einbruch per RCE, Rechteausweitung per EoP.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Schwachstellentyp<\/th><th>Anzahl<\/th><th>Anteil<\/th><th>Gef\u00e4hrdungsstufe<\/th><\/tr><\/thead><tbody><tr><td>Privilege Escalation (EoP)<\/td><td>65<\/td><td>32 %<\/td><td>Hoch<\/td><\/tr><tr><td>Remote Code Execution (RCE)<\/td><td>55<\/td><td>27 %<\/td><td>Kritisch<\/td><\/tr><tr><td>Information Disclosure<\/td><td>30<\/td><td>15 %<\/td><td>Mittel<\/td><\/tr><tr><td>Spoofing<\/td><td>27<\/td><td>13 %<\/td><td>Mittel bis Hoch<\/td><\/tr><tr><td>Security Feature Bypass<\/td><td>19<\/td><td>9 %<\/td><td>Hoch<\/td><\/tr><tr><td>Denial of Service (DoS)<\/td><td>7<\/td><td>3 %<\/td><td>Mittel<\/td><\/tr><tr><td><strong>Gesamt<\/strong><\/td><td><strong>204<\/strong><\/td><td><strong>100 %<\/strong><\/td><td><\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Besonders bemerkenswert: Allein bei Browser-Schwachstellen, die im Rahmen des Juni-Zyklus mitverarbeitet wurden, lieferte Microsoft Patches f\u00fcr <strong>360 weitere L\u00fccken<\/strong>. Adam Barnett von Rapid7 kommentiert: &#8220;Allein in diesem Monat stellt Microsoft Patches f\u00fcr 360 Browser-Schwachstellen bereit, was in einer Gr\u00f6\u00dfenordnung liegt, die weit \u00fcber dem typischen Durchschnitt der vergangenen Jahre liegt.&#8221;<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"historischer-vergleich-das-groesste-patch-tuesday-seit-2003\">Historischer Vergleich: Das gr\u00f6\u00dfte Patch Tuesday seit 2003<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Microsoft startete das Patch-Tuesday-Programm im Oktober 2003 als Antwort auf chaotische, ungeplante Sicherheitsupdates der fr\u00fchen Windows-XP-\u00c4ra. Seitdem werden Patches geb\u00fcndelt am zweiten Dienstag eines jeden Monats ver\u00f6ffentlicht. Der bisherige Monatsrekord lag im April 2026 bei <strong>167 Schwachstellen<\/strong>, was damals bereits als au\u00dfergew\u00f6hnlich galt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Dustin Childs vom Trend Micro Zero Day Initiative-Team ordnet die Entwicklung ein: &#8220;Die Anzahl der CVEs, die Microsoft im laufenden Jahr ver\u00f6ffentlicht hat, \u00fcbersteigt bereits die Gesamtzahl aus dem gesamten Jahr 2018.&#8221; Im Volljahreszeitraum 2024 schloss Microsoft insgesamt <strong>1.009 Schwachstellen<\/strong>. Mit bereits \u00fcber <strong>500 CVEs bis Ende Mai 2026<\/strong> liegt das Unternehmen auf Kurs, diesen Wert deutlich zu \u00fcbertreffen.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Zeitraum<\/th><th>Schwachstellen<\/th><th>Kritisch<\/th><th>Bemerkung<\/th><\/tr><\/thead><tbody><tr><td>Juni 2026<\/td><td>204+<\/td><td>38<\/td><td>Historischer Rekord (gr\u00f6\u00dftes Patch Tuesday seit 2003)<\/td><\/tr><tr><td>April 2026<\/td><td>167<\/td><td>k. A.<\/td><td>Bisheriger Monatsh\u00f6chstwert<\/td><\/tr><tr><td>Januar bis Mai 2026<\/td><td>500+<\/td><td>k. A.<\/td><td>In 5 Monaten bereits mehr als halbe Jahresdosis 2024<\/td><\/tr><tr><td>Gesamtes Jahr 2024<\/td><td>1.009<\/td><td>k. A.<\/td><td>Bis dato Jahresrekord<\/td><\/tr><tr><td>Jahr 2018 (gesamt)<\/td><td>Weniger als 700 (Sch\u00e4tzung)<\/td><td>k. A.<\/td><td>Laut Trend Micro ZDI bereits im Juni 2026 \u00fcbertroffen<\/td><\/tr><tr><td>Oktober 2003<\/td><td>Programmstart<\/td><td>n. A.<\/td><td>Erster offizieller Patch Tuesday \u00fcberhaupt<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Satnam Narang von Tenable beschreibt die strukturelle Ursache: &#8220;Diese Schwachstellenflut ist kein Einzelereignis. Microsoft patcht bereits seit Monaten in einer Geschwindigkeit, die alle bisherigen Jahrg\u00e4nge \u00fcbertrifft.&#8221; Im Kontext der gesamten Softwarebranche liegt 2026 auf Kurs f\u00fcr das Rekordjahr in der Geschichte moderner Betriebssysteme, gemessen an der schieren Zahl der Verwundbarkeiten.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"die-drei-zero-days-was-sofort-gepatcht-werden-muss\">Die drei Zero-Days: Was sofort gepatcht werden muss<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Im Juni-Patch-Tuesday hat Microsoft drei \u00f6ffentlich bekannte Zero-Day-Schwachstellen geschlossen. Zero-Days sind L\u00fccken, f\u00fcr die vor dem Patch bereits \u00f6ffentliche Informationen oder Exploits vorlagen. Das bedeutet: Angreifer wussten von diesen L\u00fccken, bevor Administratoren sie schlie\u00dfen konnten.<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><strong>CVE-2026-45586<\/strong> (Windows Collaborative Translation Framework, CTF): Eine Privilege-Escalation-L\u00fccke im CTF-Subsystem von Windows. Angreifer mit lokalem Zugang k\u00f6nnen ihre Rechte auf SYSTEM-Ebene anheben. Die L\u00fccke war vor dem Patch \u00f6ffentlich bekannt, aber es lagen keine Nachweise aktiver Ausnutzung vor.<\/li><li><strong>CVE-2026-49160<\/strong> (HTTP.sys, Denial of Service): Eine DoS-Schwachstelle im Windows-Kerneltreiber HTTP.sys, der unter anderem IIS und andere HTTP-Server nutzen. Angreifer k\u00f6nnen betroffene Server zum Absturz bringen, ohne sich authentifizieren zu m\u00fcssen.<\/li><li><strong>CVE-2026-50507<\/strong> (BitLocker, Security Feature Bypass): Bekannt unter dem Namen &#8220;YellowKey&#8221;. Diese L\u00fccke erlaubt es Angreifern mit physischem Zugang zum Ger\u00e4t, den BitLocker-Schutz zu umgehen. Betroffen sind Systeme, die ausschlie\u00dflich TPM-only-Authentifizierung ohne PIN verwenden.<\/li><\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Zus\u00e4tzlich hatte Microsoft bereits am 19. Mai 2026 einen au\u00dferplanm\u00e4\u00dfigen Patch f\u00fcr <strong>CVE-2026-41091<\/strong> (Microsoft Defender) ver\u00f6ffentlicht. Diese L\u00fccke wurde aktiv ausgenutzt und galt daher als zu dringlich, um bis zum regul\u00e4ren Patch Tuesday zu warten.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"cve-2026-45657-windows-kernel-rce-mit-wurmpotenzial\">CVE-2026-45657: Windows-Kernel-RCE mit Wurmpotenzial<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die gef\u00e4hrlichste Schwachstelle im Juni-Zyklus ist <strong>CVE-2026-45657<\/strong>: eine Remote-Code-Execution-L\u00fccke im Windows-Kernel mit einem CVSS-Score von <strong>9.8<\/strong>. Sicherheitsforscher beschreiben die L\u00fccke als &#8220;wormable-class&#8221;, was bedeutet, dass sie sich potenziell selbst von System zu System verbreiten kann, ohne Benutzerinteraktion zu erfordern.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">CVE-2026-45657 erf\u00fcllt drei Kriterien, die eine Schwachstelle besonders gef\u00e4hrlich machen: keine notwendige Authentifizierung, keine erforderliche Benutzerinteraktion und Netzwerkzug\u00e4nglichkeit ohne vorherigen Zugang zum System. Dieser Typ von Schwachstelle erinnert an EternalBlue (MS17-010), die Kernel-L\u00fccke, die 2017 vom WannaCry-Ransomware-Wurm genutzt wurde, um sich in k\u00fcrzester Zeit \u00fcber hunderttausende Systeme zu verbreiten.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr deutsche Unternehmen und KRITIS-Betreiber gilt: Systeme mit offenen TCP-Ports ins Internet m\u00fcssen umgehend gepatcht werden. Netzwerksegmentierung allein reicht nicht, wenn laterale Bewegungen im internen Netz m\u00f6glich sind. Patch-Verantwortliche sollten CVE-2026-45657 in ihrer Patch-Priorisierung auf Platz eins setzen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"remote-desktop-client-vier-kritische-rce-luecken\">Remote Desktop Client: Vier kritische RCE-L\u00fccken<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Der Remote Desktop Client (RDC) war im Juni 2026 mit <strong>11 CVEs<\/strong>, darunter <strong>4 kritischen<\/strong>, eines der am st\u00e4rksten betroffenen Komponenten. Die kritischen L\u00fccken CVE-2026-44801, CVE-2026-44799, CVE-2026-42992 und CVE-2026-42985 erm\u00f6glichen allesamt Remote Code Execution.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das besondere Angriffsszenario: Ein Nutzer verbindet sich mit einem kompromittierten oder manipulierten RDP-Server. Der Server kann daraufhin den Client des Nutzers angreifen und Code auf dem Client-System ausf\u00fchren. Dieses sogenannte &#8220;Client-side RCE&#8221;-Muster ist besonders heimt\u00fcckisch, weil Administratoren intuitiv den Server als Angriffsziel sehen, nicht den Client.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Empfehlung f\u00fcr DACH-Unternehmen: Kein ungepatchter Windows-Client sollte sich mit externen RDP-Servern verbinden. Wer Windows-Fernwartung einsetzt, sollte ausschlie\u00dflich VPN-gesichertes RDP mit Network Level Authentication (NLA) nutzen und sicherstellen, dass der Remote Desktop Client auf aktuellem Stand ist.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"exchange-server-cve-2026-42897-aktiv-ausgenutzt\">Exchange Server CVE-2026-42897: Aktiv ausgenutzt<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>CVE-2026-42897<\/strong> betrifft Microsoft Exchange Server und gilt als dringlichster Patch f\u00fcr On-Premises-Exchange-Installationen. Die Schwachstelle erm\u00f6glicht Remote Code Execution auf betroffenen Exchange-Servern. Sicherheitsforscher haben best\u00e4tigt, dass diese L\u00fccke bereits aktiv in freier Wildbahn ausgenutzt wird.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Exchange-Server sind in deutschen Unternehmen nach wie vor weit verbreitet. Obwohl Microsoft seit Jahren auf Exchange Online dr\u00e4ngt, betreiben viele mittelst\u00e4ndische Unternehmen und Beh\u00f6rden in Deutschland noch On-Premises-Exchange-Installationen. F\u00fcr diese Organisationen ist CVE-2026-42897 besonders kritisch.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Sofortma\u00dfnahmen: Administratoren sollten zun\u00e4chst pr\u00fcfen, ob der Exchange Emergency Mitigation Service (EEMS) aktiv und funktionsf\u00e4hig ist. Microsoft nutzt EEMS, um kurzfristige Mitigationen einzuspielen, bevor ein vollst\u00e4ndiger Patch verf\u00fcgbar ist. Dar\u00fcber hinaus sollten Nutzer vor unaufgeforderten E-Mails mit Office-Anh\u00e4ngen gewarnt werden, da CVE-2026-42897 \u00fcber pr\u00e4parierte Dokumente ausgenutzt werden kann.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"hyper-v-gast-zu-host-escape-in-unternehmensumgebungen\">Hyper-V: Gast-zu-Host-Escape in Unternehmensumgebungen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Hyper-V, Microsofts Virtualisierungsplattform f\u00fcr Windows Server und Azure, ist im Juni 2026 von drei kritischen L\u00fccken betroffen: <strong>CVE-2026-47652<\/strong>, <strong>CVE-2026-45641<\/strong> und <strong>CVE-2026-45607<\/strong>. Alle drei sind als Out-of-Bounds-Read-Schwachstellen klassifiziert.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das besondere Risiko bei Hypervisor-L\u00fccken: Ein Angreifer, der Zugang zu einer virtuellen Maschine (Gast) hat, kann aus dem isolierten Gastsystem &#8220;ausbrechen&#8221; und auf den Host zugreifen. In Cloud- und Multi-Tenant-Umgebungen, wie sie in Azure und privaten Rechenzentren vorkommen, kann ein solcher Angriff zur vollst\u00e4ndigen Kompromittierung der physischen Hardware und aller darauf laufenden VMs f\u00fchren.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">CVE-2026-45641 und CVE-2026-45607 tragen jeweils einen CVSS-Score von <strong>8.4<\/strong>. F\u00fcr Betreiber von On-Premises-Hyper-V-Clustern und Azure-Stack-Umgebungen ist sofortiger Patch-Einsatz Pflicht. Microsofts Azure selbst wird automatisch gepatcht, sodass Azure-PaaS-Dienste nicht manuell aktualisiert werden m\u00fcssen. Eigene Azure Stack Edge-Ger\u00e4te dagegen erfordern manuelle Aktualisierung.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"http-sys-und-dhcp-unauthentifizierte-angriffe-aus-dem-netz\">HTTP.sys und DHCP: Unauthentifizierte Angriffe aus dem Netz<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Zwei der gef\u00e4hrlichsten Schwachstellen im Juni-Zyklus betreffen Netzwerkdienste, die auf den meisten Windows-Servern aktiv sind. <strong>CVE-2026-47291<\/strong> ist eine Remote-Code-Execution-L\u00fccke in HTTP.sys mit einem CVSS-Score von <strong>9.8<\/strong>. HTTP.sys ist der Kernel-Treiber, \u00fcber den IIS und viele andere Windows-HTTP-Dienste laufen. Eine erfolgreiche Ausnutzung erfordert weder Authentifizierung noch Benutzerinteraktion.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Rapid7 und andere Sicherheitsforscher empfehlen, HTTP.sys-Patches als Notfall-Change zu behandeln, also au\u00dferhalb des regul\u00e4ren Wartungsfensters einzuspielen. F\u00fcr Unternehmen, die IIS oder andere HTTP.sys-basierte Dienste im Internet exponieren, besteht unmittelbares Risiko.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Gleichzeitig betrifft der DHCP-Client eine weitere Schwachstelle, die Remote Code Execution ohne Authentifizierung erm\u00f6glicht. DHCP-Clients sind auf nahezu jedem Windows-Ger\u00e4t aktiv. Angreifer, die sich im selben Netzwerksegment befinden (zum Beispiel nach einem initialen Einbruch), k\u00f6nnten \u00fcber einen pr\u00e4parierten DHCP-Server Code auf allen Windows-Clients im Subnetz ausf\u00fchren.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"office-outlook-und-word-kritische-rce-ohne-benutzerinteraktion\">Office, Outlook und Word: Kritische RCE ohne Benutzerinteraktion<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Microsoft Office-Produkte sind erneut ein Hauptangriffsziel. <strong>CVE-2026-45458<\/strong>, <strong>CVE-2026-45456<\/strong> und <strong>CVE-2026-47635<\/strong> erm\u00f6glichen Remote Code Execution in Office-Anwendungen, darunter Outlook und Word. Alle drei tragen einen CVSS-Score von <strong>8.4<\/strong>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das Angriffsszenario ist klassisch und gleichzeitig besonders wirksam: Ein Nutzer \u00f6ffnet ein pr\u00e4pariertes Office-Dokument oder erh\u00e4lt eine manipulierte E-Mail in Outlook. Ohne weiteres Zutun f\u00fchrt das Programm Schadcode aus. Dieser Angriffstyp eignet sich besonders f\u00fcr zielgerichtete Phishing-Kampagnen gegen Unternehmen und Beh\u00f6rden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Deutsche Organisationen, die sensible Daten verarbeiten, sollten unverz\u00fcglich Office-Updates einspielen. Microsoft empfiehlt zus\u00e4tzlich, &#8220;Protected View&#8221; f\u00fcr heruntergeladene und per E-Mail empfangene Dokumente zu aktivieren sowie Makros f\u00fcr alle nicht verifizierten Quellen zu deaktivieren. Diese Ma\u00dfnahmen reduzieren die Angriffsfl\u00e4che auch bei nicht sofort patchbaren Systemen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"bitlocker-cve-2026-50507-yellowkey-umgeht-festplattenverschluesselung\">BitLocker CVE-2026-50507: &#8220;YellowKey&#8221; umgeht Festplattenverschl\u00fcsselung<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die als &#8220;YellowKey&#8221; bezeichnete Schwachstelle <strong>CVE-2026-50507<\/strong> ist einer der drei \u00f6ffentlich bekannten Zero-Days im Juni-Paket. Sie betrifft BitLocker, Microsofts integrierte Festplattenverschl\u00fcsselung. Angreifer mit physischem Zugang zum Ger\u00e4t k\u00f6nnen den BitLocker-Schutz umgehen und auf verschl\u00fcsselte Daten zugreifen, wenn das System ausschlie\u00dflich TPM-only-Authentifizierung verwendet.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Betroffen sind insbesondere Laptops und mobile Ger\u00e4te, die ohne Pre-Boot-PIN konfiguriert sind. Microsoft empfiehlt, BitLocker auf TPM+PIN umzustellen. F\u00fcr Unternehmen mit Mobile-Device-Management-L\u00f6sungen wie Microsoft Intune ist diese Konfigurations\u00e4nderung \u00fcber Richtlinien zentral ausrollbar.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Der praktische Impact f\u00fcr DACH-Unternehmen: Verlust oder Diebstahl eines Laptops mit BitLocker-TPM-only-Konfiguration k\u00f6nnte dazu f\u00fchren, dass Dritte auf Unternehmensdaten zugreifen. Nach DSGVO stellt das eine meldepflichtige Datenpanne dar, sofern personenbezogene Daten auf dem Ger\u00e4t gespeichert waren. Organisationen mit sensiblen Datenbest\u00e4nden sollten die Konfiguration ihrer BitLocker-Deployments umgehend \u00fcberpr\u00fcfen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"microsoft-365-copilot-ki-als-neue-angriffsflaeche\">Microsoft 365 Copilot: KI als neue Angriffsfl\u00e4che<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Erstmals tauchen im Juni-Patch-Tuesday auch KI-spezifische Schwachstellen auf. <strong>CVE-2026-45497<\/strong> und <strong>CVE-2026-42824<\/strong> betreffen Microsoft 365 Copilot und erlauben Command-Injection-Angriffe. Command Injection bedeutet, dass Angreifer \u00fcber pr\u00e4parierte Eingaben eigene Befehle in die KI-Pipeline einschleusen k\u00f6nnen, was zur Datenexfiltration oder zur Manipulation von KI-Ausgaben f\u00fchren kann.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Diese Schwachstellenkategorie ist grundlegend neu. Klassische Patch-Tuesday-Schwachstellen betreffen Betriebssystemkomponenten oder Anwendungen. KI-Pipelines sind komplexere Systeme mit eigenen Angriffsvektoren, insbesondere Prompt Injection und Command Injection. Die Integration von KI-Tools in Unternehmensworkflows erweitert die Angriffsfl\u00e4che erheblich.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Satnam Narang von Tenable kommentiert die strukturelle Entwicklung: &#8220;Microsoft hat bereits in den ersten f\u00fcnf Monaten des Jahres 2026 \u00fcber 500 CVEs gepatcht. Die Aufnahme von KI-spezifischen L\u00fccken in den Standard-Patch-Zyklus ist ein klares Zeichen daf\u00fcr, dass diese Schwachstellenklasse kein Randthema mehr ist.&#8221;<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"patch-priorisierung-fuer-deutsche-unternehmen-und-kritis-betreiber\">Patch-Priorisierung f\u00fcr deutsche Unternehmen und KRITIS-Betreiber<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Bei 204 Schwachstellen ist eine Priorisierung unumg\u00e4nglich. Nicht jedes Unternehmen kann 204 Patches gleichzeitig und ohne Ausfallzeiten einspielen. Die folgende Reihenfolge orientiert sich an CVSS-Score, Ausnutzungsstatus und Angriffsfl\u00e4che f\u00fcr typische deutsche Unternehmensumgebungen:<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Priorit\u00e4t<\/th><th>CVE<\/th><th>Produkt<\/th><th>Typ<\/th><th>CVSS<\/th><th>Besonderheit<\/th><\/tr><\/thead><tbody><tr><td>1<\/td><td>CVE-2026-45657<\/td><td>Windows Kernel<\/td><td>RCE<\/td><td>9.8<\/td><td>Wormable, kein Auth, kein User-Interact<\/td><\/tr><tr><td>2<\/td><td>CVE-2026-42897<\/td><td>Exchange Server<\/td><td>RCE<\/td><td>8.8<\/td><td>Aktiv ausgenutzt in freier Wildbahn<\/td><\/tr><tr><td>3<\/td><td>CVE-2026-47291<\/td><td>HTTP.sys<\/td><td>RCE<\/td><td>9.8<\/td><td>Unauthentifiziert, alle IIS-Server betroffen<\/td><\/tr><tr><td>4<\/td><td>CVE-2026-44801 \/ 44799<\/td><td>Remote Desktop Client<\/td><td>RCE<\/td><td>8.8<\/td><td>Client-side: Angriff vom Server auf Client<\/td><\/tr><tr><td>5<\/td><td>CVE-2026-50507<\/td><td>BitLocker<\/td><td>SFB<\/td><td>Mittel<\/td><td>Zero-Day (YellowKey), physischer Angriff m\u00f6glich<\/td><\/tr><tr><td>6<\/td><td>CVE-2026-48567<\/td><td>Azure HorizonDB<\/td><td>RCE<\/td><td>Kritisch<\/td><td>Azure Stack Edge: manuelle Aktualisierung n\u00f6tig<\/td><\/tr><tr><td>7<\/td><td>CVE-2026-45607 \/ 45641<\/td><td>Hyper-V<\/td><td>EoP<\/td><td>8.4<\/td><td>VM-Escape, On-Premises-Hyper-V-Cluster<\/td><\/tr><tr><td>8<\/td><td>CVE-2026-45458 \/ 45456<\/td><td>Office\/Outlook\/Word<\/td><td>RCE<\/td><td>8.4<\/td><td>Phishing-Vektor, alle Office-Nutzer betroffen<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr KRITIS-Betreiber in Deutschland gilt nach NIS2-Umsetzungsgesetz eine erh\u00f6hte Sorgfaltspflicht. Schwachstellen mit CVSS 9.0 und h\u00f6her sollten innerhalb von 72 Stunden nach Patch-Verf\u00fcgbarkeit geschlossen werden. Aktiv ausgenutzte Schwachstellen (CVE-2026-42897) erfordern sofortige Ma\u00dfnahmen, unabh\u00e4ngig vom CVSS-Score. Das BSI empfiehlt, f\u00fcr solche kritischen Patches Notfall-Change-Prozesse zu etablieren, die das regul\u00e4re Genehmigungsverfahren umgehen k\u00f6nnen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"auswirkungen-auf-nis2-compliance-und-dsgvo\">Auswirkungen auf NIS2-Compliance und DSGVO<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Der Juni-Patch-Tuesday hat direkte Auswirkungen auf Compliance-Pflichten deutscher Unternehmen. NIS2, seit Oktober 2024 in deutsches Recht umgesetzt, verpflichtet Betreiber wesentlicher und wichtiger Einrichtungen zu angemessenen technischen Sicherheitsma\u00dfnahmen, einschlie\u00dflich des zeitnahen Einspielens von Sicherheits-Updates.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Wer CVE-2026-42897 (aktiv ausgenutzt in Exchange Server) nicht innerhalb einer angemessenen Frist patcht und dadurch einen Datenschutzvorfall erleidet, riskiert Bu\u00dfgelder nach NIS2 von bis zu <strong>10 Millionen Euro<\/strong> oder <strong>2 Prozent des weltweiten Jahresumsatzes<\/strong>. Hinzu kommt die DSGVO-Meldepflicht bei Datenschutzverletzungen innerhalb von 72 Stunden gegen\u00fcber der zust\u00e4ndigen Datenschutzaufsichtsbeh\u00f6rde.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr den BitLocker-Zero-Day CVE-2026-50507 gilt: Falls ein Ger\u00e4t mit der verwundbaren Konfiguration verloren geht oder gestohlen wird, ist ein Datenschutzvorfall nach Artikel 33 DSGVO wahrscheinlich meldepflichtig, sofern personenbezogene Daten auf dem Ger\u00e4t gespeichert waren. Unternehmen sollten ihren Patch-Status dokumentieren, um im Falle einer Beh\u00f6rdenpr\u00fcfung nachweisen zu k\u00f6nnen, dass angemessene Ma\u00dfnahmen ergriffen wurden.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"sharepoint-azure-kubernetes-und-visual-studio-code\">SharePoint, Azure Kubernetes und Visual Studio Code<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Neben den bereits genannten Hauptkomponenten sind weitere Microsoft-Produkte im Juni-Zyklus betroffen. <strong>CVE-2026-47634<\/strong> und <strong>CVE-2026-45481<\/strong> betreffen On-Premises-SharePoint-Server und sind als Spoofing-Schwachstellen eingestuft. Beide tragen einen CVSS-Score von <strong>7.3<\/strong>. SharePoint-Administratoren, die lokale Installationen betreiben, sollten diese Patches ebenfalls z\u00fcgig einspielen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Azure Kubernetes Service (AKS) und Azure Stack Edge sind ebenfalls betroffen. F\u00fcr AKS-Kunden \u00fcbernimmt Microsoft das Patchen der Steuerungsebene automatisch. Worker Nodes m\u00fcssen jedoch je nach Konfiguration manuell oder halbautomatisch aktualisiert werden. Kubernetes-Administratoren sollten ihre Node-Update-Strategie \u00fcberpr\u00fcfen und sicherstellen, dass kein Node auf einer verwundbaren Kernel-Version l\u00e4uft.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Visual Studio Code ist ebenfalls im Patch-Paket enthalten. F\u00fcr Entwicklerteams, die VS Code als prim\u00e4ren Editor nutzen, empfiehlt sich eine zentrale Update-Richtlinie \u00fcber Unternehmensrichtlinien oder MDM-L\u00f6sungen, da VS Code in vielen Unternehmen au\u00dferhalb des regul\u00e4ren Patch-Managements l\u00e4uft und oft ohne IT-Aufsicht von Entwicklern selbst aktualisiert wird.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"prognosen-wie-sich-patch-tuesday-2026-weiterentwickelt\">Prognosen: Wie sich Patch Tuesday 2026 weiterentwickelt<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Auf Basis der aktuellen Datenlage lassen sich f\u00fcnf konkrete Prognosen f\u00fcr die kommenden Monate formulieren:<\/p>\n\n\n\n<ol class=\"wp-block-list\"><li><strong>2026 wird das Rekordjahr f\u00fcr Microsoft-Patches.<\/strong> Mit \u00fcber 700 CVEs in den ersten sechs Monaten wird 2026 den bisherigen Jahresrekord von 1.009 CVEs (2024) bis Jahresende deutlich \u00fcbertreffen. Ein Wert von 1.400 bis 1.600 CVEs f\u00fcr das Gesamtjahr erscheint realistisch.<\/li><li><strong>KI-spezifische Schwachstellen werden zur eigenst\u00e4ndigen Patch-Kategorie.<\/strong> Die Copilot-L\u00fccken im Juni-Zyklus sind ein Vorbote. Mit zunehmender KI-Integration in Windows, Office und Azure werden Prompt-Injection- und Command-Injection-Schwachstellen in k\u00fcnftigen Patch Tuesdays regelm\u00e4\u00dfig auftauchen.<\/li><li><strong>Hyper-V-L\u00fccken werden zum bevorzugten Angriffsvektor f\u00fcr Cloud-Angriffe.<\/strong> VM-Escape-Schwachstellen sind technisch komplex, aber f\u00fcr staatliche Akteure und hochentwickelte Angreifergruppen attraktiv. Weitere Hyper-V-L\u00fccken in Q3 und Q4 2026 sind wahrscheinlich.<\/li><li><strong>Das BSI wird Patch-Fristen f\u00fcr KRITIS-Betreiber konkretisieren.<\/strong> Die Kombination aus NIS2, KRITIS-Dachgesetz und der wachsenden Zahl kritischer Schwachstellen erh\u00f6ht den regulatorischen Druck auf Beh\u00f6rden und kritische Infrastrukturbetreiber, spezifische SLAs f\u00fcr Patch-Einsatz schriftlich zu fixieren.<\/li><li><strong>Automatisiertes Patch-Management wird zum Pflichtstandard.<\/strong> Bei dieser Patchdichte ist manuelles Patch-Management f\u00fcr Unternehmen mit mehr als 50 Systemen nicht mehr praktikabel. L\u00f6sungen wie Windows Update for Business, Microsoft Intune oder Drittanbieter-Tools werden 2026 bis 2027 zum unverzichtbaren Standard f\u00fcr mittelst\u00e4ndische Unternehmen.<\/li><\/ol>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"verwandte-berichte\">Verwandte Berichte<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"weiterfuehrende-artikel-auf-shattered-io\">Weiterf\u00fchrende Artikel auf shattered.io<\/h3>\n\n\n\n<ul class=\"wp-block-list\"><li><a href=\"https:\/\/shattered.io\/de\/2026\/06\/18\/dach-cyberangriffe-2026-deutschland\/\">DACH: Cyberangriffe um 124 % gestiegen, 82 % treffen Deutschland<\/a><\/li><li><a href=\"https:\/\/shattered.io\/de\/2026\/06\/18\/bka-cybercrime-bericht-2025\/\">BKA 2025: 333.922 Cyberf\u00e4lle, 202 Milliarden Euro Schaden<\/a><\/li><li><a href=\"https:\/\/shattered.io\/de\/2026\/06\/15\/cl0p-oracle-ebs-2026\/\">Cl0p hackt Oracle EBS: 29 Opfer, CVSS 9.8<\/a><\/li><li><a href=\"https:\/\/shattered.io\/de\/2026\/06\/15\/enisa-ransomware-bedrohungslage-2026\/\">ENISA: Ransomware verursacht 81 % aller EU-Cyberangriffe<\/a><\/li><li><a href=\"https:\/\/shattered.io\/de\/2026\/06\/15\/noname057-ddos-deutschland-2026\/\">NoName057(16): 14 DDoS-Wellen gegen Deutschland<\/a><\/li><\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"faq-microsoft-patch-tuesday-juni-2026\">FAQ: Microsoft Patch Tuesday Juni 2026<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"wie-viele-schwachstellen-hat-microsoft-im-juni-2026-gepatcht\">Wie viele Schwachstellen hat Microsoft im Juni 2026 gepatcht?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Microsoft hat am 9. Juni 2026 mindestens <strong>204 Sicherheitsl\u00fccken<\/strong> geschlossen. Je nach Z\u00e4hlmethode berichten verschiedene Sicherheitsanbieter Zahlen zwischen 198 und 208 CVEs. Alle Quellen best\u00e4tigen, dass es sich um das gr\u00f6\u00dfte Patch Tuesday seit Programmstart 2003 handelt.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"welche-zero-days-enthaelt-das-juni-2026-patch-paket\">Welche Zero-Days enth\u00e4lt das Juni-2026-Patch-Paket?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Das Paket enth\u00e4lt drei \u00f6ffentlich bekannte Zero-Days: <strong>CVE-2026-45586<\/strong> (Windows CTF, Privilege Escalation), <strong>CVE-2026-49160<\/strong> (HTTP.sys, Denial of Service) und <strong>CVE-2026-50507<\/strong> (BitLocker &#8220;YellowKey&#8221;, Security Feature Bypass). Zus\u00e4tzlich hatte Microsoft bereits am 19. Mai 2026 einen Notfallpatch f\u00fcr den aktiv ausgenutzten Zero-Day CVE-2026-41091 in Microsoft Defender ver\u00f6ffentlicht.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"welcher-cve-hat-die-hoechste-prioritaet-fuer-deutsche-unternehmen\">Welcher CVE hat die h\u00f6chste Priorit\u00e4t f\u00fcr deutsche Unternehmen?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>CVE-2026-45657<\/strong> (Windows Kernel RCE, CVSS 9.8) hat die h\u00f6chste Priorit\u00e4t, da die L\u00fccke als wormable eingestuft wird und ohne Authentifizierung oder Benutzerinteraktion ausgenutzt werden kann. Direkt dahinter folgt <strong>CVE-2026-42897<\/strong> (Exchange Server), weil diese Schwachstelle bereits aktiv in freier Wildbahn ausgenutzt wird.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"was-muessen-kritis-betreiber-jetzt-tun\">Was m\u00fcssen KRITIS-Betreiber jetzt tun?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">KRITIS-Betreiber in Deutschland m\u00fcssen unter NIS2 kritische Patches unverz\u00fcglich einspielen. F\u00fcr Schwachstellen mit CVSS 9.0 und h\u00f6her (CVE-2026-45657, CVE-2026-47291) gilt ein Notfall-Patch-Prozess. CVE-2026-42897 (aktiv ausgenutzt) erfordert sofortige Ma\u00dfnahmen, unabh\u00e4ngig vom regul\u00e4ren Wartungsfenster. Das BSI-CERT empfiehlt die Einrichtung eines Notfall-Change-Prozesses f\u00fcr solche F\u00e4lle.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"wie-schuetze-ich-mich-gegen-cve-2026-50507-bitlocker\">Wie sch\u00fctze ich mich gegen CVE-2026-50507 (BitLocker)?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Sofortma\u00dfnahme: BitLocker-Konfiguration von TPM-only auf <strong>TPM+PIN<\/strong> umstellen. \u00dcber Microsoft Intune oder Gruppenrichtlinien kann diese \u00c4nderung zentral ausgerollt werden. Bis der Patch eingespielt ist, reduziert TPM+PIN das Risiko eines physischen Angriffs erheblich. Ger\u00e4te mit sensiblen Daten sollten bis zum Patch-Einsatz nicht ohne Aufsicht gelassen werden.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"gibt-es-einen-offiziellen-bsi-hinweis-zum-juni-patch-tuesday\">Gibt es einen offiziellen BSI-Hinweis zum Juni-Patch-Tuesday?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Das <a href=\"https:\/\/www.bsi.bund.de\/\" rel=\"noopener\" target=\"_blank\">BSI<\/a> ver\u00f6ffentlicht regelm\u00e4\u00dfig Sicherheitshinweise zu bedeutenden Schwachstellen. F\u00fcr den Juni-2026-Zyklus mit seinen kritischen CVEs gibt das BSI-CERT entsprechende Warnmeldungen heraus. Organisationen sollten den BSI-Newsletter (CERT-Bund) abonnieren, um zeitnahe Informationen zu erhalten. Weiterf\u00fchrende technische Details zu einzelnen CVEs liefern die Blogs von <a href=\"https:\/\/www.rapid7.com\/blog\/\" rel=\"noopener\" target=\"_blank\">Rapid7<\/a> und <a href=\"https:\/\/www.tenable.com\/blog\" rel=\"noopener\" target=\"_blank\">Tenable<\/a> sowie das <a href=\"https:\/\/www.zerodayinitiative.com\/blog\" rel=\"noopener\" target=\"_blank\">Trend Micro Zero Day Initiative-Team<\/a>.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"wie-kann-ich-pruefen-ob-meine-systeme-gepatcht-sind\">Wie kann ich pr\u00fcfen, ob meine Systeme gepatcht sind?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr Windows-Server und -Clients: Windows-Update-Verlauf pr\u00fcfen, ob das Juni-2026-Kumulativupdate installiert ist. Alternativ k\u00f6nnen PowerShell-Befehle oder das Microsoft Security Compliance Toolkit eingesetzt werden. F\u00fcr Exchange Server: Versionsnummer pr\u00fcfen und mit Microsofts Exchange Build Numbers-Liste vergleichen. F\u00fcr WSUS-Umgebungen: Patch-Compliance-Berichte aus WSUS oder dem eingesetzten Patch-Management-Tool abrufen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Microsoft hat am 9. Juni 2026 seinen monatlichen Patch Tuesday ver\u00f6ffentlicht und dabei 204 Sicherheitsl\u00fccken in einem einzigen Update-Zyklus geschlossen. Damit bricht das Unternehmen seinen eigenen Rekord aus dem April\u2026<\/p>\n","protected":false},"author":9,"featured_media":194,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-193","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security"],"_links":{"self":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts\/193","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/users\/9"}],"replies":[{"embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/comments?post=193"}],"version-history":[{"count":1,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts\/193\/revisions"}],"predecessor-version":[{"id":195,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts\/193\/revisions\/195"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/media\/194"}],"wp:attachment":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/media?parent=193"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/categories?post=193"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/tags?post=193"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}