**Microsoft** hat seine **Juni 2026 Patch Tuesday**-Updates ausgerollt, eine kritische Veröffentlichung, die sich mit insgesamt 200 Sicherheitslücken befasst. Darunter sind 33 als "kritisch" eingestufte Schwachstellen, darunter 28 Remote Code Execution (RCE)-Schwachstellen, vier Privilege Escalation (EoP)-Schwachstellen und eine Information Disclosure-Schwachstelle. Das Update dieses Monats behebt auch gezielt drei öffentlich bekannte Zero-Day-Schwachstellen, von denen derzeit keine in aktiven Angriffen ausgenutzt wird. Es ist wichtig zu beachten, dass diese Zählung ausschließlich die heute von **Microsoft** behobenen Schwachstellen abdeckt. Sie schließt Korrekturen für **Mariner**, **Azure HorizonDB**, **Microsoft Copilot**, **Copilot Chat**, **M365 Copilot**, **Microsoft Exchange Online** und **Microsoft Graph** aus, die bereits früher im Monat behoben wurden. Darüber hinaus sind massive 360 **Microsoft Edge**/**Chromium**-Schwachstellen, die diesen Monat von **Google** gepatcht wurden, von dieser speziellen Zusammenfassung ausgeschlossen. ## Die Zero-Day-Landschaft Dieser **Patch Tuesday** hebt drei öffentlich bekannte Zero-Day-Schwachstellen hervor und unterstreicht die anhaltenden Herausforderungen in der Softwaresicherheit. **Microsoft** definiert einen Zero-Day als eine Schwachstelle, die öffentlich bekannt gegeben oder aktiv ausgenutzt wird, bevor eine offizielle Korrektur verfügbar ist. ### Windows CTFMON: Ein Weg zu SYSTEM-Berechtigungen Ein bedeutender gepatchter Zero-Day ist eine **Windows CTFMON**-Schwachstelle, die einem lokalen Angreifer SYSTEM-Berechtigungen gewähren könnte. **Microsoft** beschreibt diese als 'Unangemessene Link-Auflösung vor dem Dateizugriff ('Link Following') im **Windows Collaborative Translation Framework**'. Diese Schwachstelle ermöglicht es einem autorisierten Angreifer, lokal Berechtigungen zu eskalieren. Die Schwachstelle wurde einem anonymen Forscher zugeschrieben, ohne weitere Details zur Offenlegung. ### HTTP/2 Bomb: Eine neue DoS-Bedrohung Eine weitere kritische Korrektur befasst sich mit einer öffentlich bekannten **HTTP/2** Denial of Service (DoS)-Schwachstelle, die als '**HTTP/2 Bomb**' bezeichnet wird. Diese Schwachstelle, die von Forschern des Offensive-Security-Unternehmens **Calif** (insbesondere Quang Luong und Codex) aufgedeckt wurde, nutzt unkontrollierte Ressourcenverbräuche in **HTTP/2** aus, um einem unbefugten Angreifer die Verweigerung von Diensten über ein Netzwerk zu ermöglichen. Der **HTTP/2 Bomb**-Angriff nutzt aus, wie das **HTTP/2**-Protokoll Web-Traffic-Header komprimiert und verwaltet. Angreifer können minimale Daten senden, um Server zu zwingen, unverhältnismäßig große Mengen an Speicher zuzuweisen, was potenziell zu Leistungsproblemen oder vollständigen Ausfällen führen kann. Um dies zu mildern, hat **Microsoft** eine neue Registrierungseinstellung `MaxHeadersCount` eingeführt, die die Anzahl der Header in einer **HTTP/2**- oder **HTTP/3**-Anfrage begrenzt, zusammen mit einem Support-Bulletin (KB5102602), das die Implementierung beschreibt. ### BitLocker-Umgehung: Die YellowKey-Schwachstelle Der dritte Zero-Day befasst sich mit einer **Windows BitLocker**-Umgehungsschwachstelle, die es lokalen Angreifern ermöglicht, unbefugten Zugriff auf verschlüsselte Laufwerke zu erhalten. Während **Microsoft** diese Korrektur einem anonymen Forscher zuschrieb, wurde sie als die **YellowKey**-Schwachstelle identifiziert, die letzten Monat vom Cybersicherheitsforscher **Nightmare Eclipse** öffentlich bekannt gegeben wurde. Die **YellowKey**-Schwachstelle könnte ausgenutzt werden, indem speziell präparierte Dateien auf einem USB-Laufwerk oder einer EFI-Partition platziert und in die **Windows Recovery Environment (WinRE)** gebootet wird. Das Gedrückthalten der STRG-Taste während dieses Vorgangs könnte eine Befehlsshell mit uneingeschränktem Zugriff auf **BitLocker**-geschützte Laufwerke auslösen. Diese Schwachstelle betrifft hauptsächlich Systeme, die **TPM-only BitLocker**-Schutz auf **Windows 11** und **Windows Server 2022/2025**-Geräten verwenden. **Microsoft** hatte zuvor vorübergehende Abhilfemaßnahmen angeboten und die Benutzer angewiesen, die **TPM+PIN**-Authentifizierung zu aktivieren, anstatt sich ausschließlich auf den TPM-Schutz zu verlassen. **Nightmare Eclipse** ist bekannt für die öffentliche Offenlegung einer Reihe von **Windows**-Zero-Day-Schwachstellen, darunter **BlueHammer**, **MiniPlasma**, **RedSun** und **UnDefend**. Diese Offenlegungen erfolgen Berichten zufolge als Protest gegen **Microsofts** Umgang mit seinem Bug-Bounty- und Vulnerability-Disclosure-Programm. ## Jenseits der Zero-Days: Kritische Schwachstellen Neben den hochkarätigen Zero-Days enthält dieser **Patch Tuesday** Korrekturen für zahlreiche weitere kritische Schwachstellen. Die 28 Remote Code Execution-Schwachstellen sind besonders besorgniserregend, da sie es Angreifern ermöglichen könnten, beliebigen Code auf betroffenen Systemen aus der Ferne auszuführen, oft ohne Benutzerinteraktion. Sicherheitsexperten werden dringend aufgefordert, diese Updates zu priorisieren, um eine potenzielle Netzwerkkompromittierung zu verhindern. ## Handlungsaufforderung Angesichts der Breite und Schwere der behobenen Schwachstellen wird IT-Sicherheitsexperten und datenschutzbewussten Benutzern dringend empfohlen, diese **Juni 2026 Patch Tuesday**-Updates sofort anzuwenden. Rechtzeitiges Patchen bleibt die effektivste Verteidigung gegen Ausnutzung durch Bedrohungsakteure.