**Microsofts** Sicherheitsupdates für Mai 2026 beheben 138 Schwachstellen, davon 30 als kritisch, 104 als wichtig, drei als moderat und eine als niedrig eingestuft. Eine beträchtliche Anzahl, nämlich 61, sind Schwachstellen zur Rechteausweitung, gefolgt von 32 Schwachstellen zur Remotecodeausführung. Das Update enthält auch einen Patch für eine **AMD**-Schwachstelle, **CVE-2025-54518** (CVSS-Score: 7,3), die eine unsachgemäße Isolierung gemeinsam genutzter Ressourcen in Zen 2-basierten Produkten betrifft. Dies könnte zu einer Rechteausweitung führen. Diese Patches kommen zusätzlich zu den 127 Sicherheitslücken, die **Google** in **Chromium**, der Grundlage des **Microsoft Edge**-Browsers, behoben hat. ### Kritische Windows DNS-Schwachstelle Eine der schwerwiegendsten Schwachstellen ist **CVE-2026-41096** (CVSS-Score: 9,8), ein Heap-basierter Pufferüberlauf in Windows DNS. Ein Angreifer könnte diese ausnutzen, indem er eine speziell präparierte DNS-Antwort sendet, was zu einer Remotecodeausführung ohne Authentifizierung führt. "Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er eine speziell präparierte DNS-Antwort an ein anfälliges Windows-System sendet, was dazu führt, dass der DNS-Client die Antwort falsch verarbeitet und den Speicher beschädigt", erklärte **Microsoft**. "In bestimmten Konfigurationen könnte dies dem Angreifer ermöglichen, ohne Authentifizierung Code remote auf dem betroffenen System auszuführen." ### Weitere bemerkenswerte Schwachstellen **Microsoft** hat auch mehrere andere kritische und wichtige Schwachstellen behoben, darunter: * **CVE-2026-42826** (CVSS-Score: 10,0) - Informationspreisgabe in Azure DevOps. * **CVE-2026-33109** (CVSS-Score: 9,9) - Unsachgemäße Zugriffskontrolle in Azure Managed Instance für Apache Cassandra. * **CVE-2026-42898** (CVSS-Score: 9,9) - Code-Injektion in Microsoft Dynamics 365 (on-premises). * **CVE-2026-42823** (CVSS-Score: 9,9) - Unsachgemäße Zugriffskontrolle in Azure Logic Apps. * **CVE-2026-41089** (CVSS-Score: 9,8) - Stack-basierter Pufferüberlauf in Windows Netlogon. * **CVE-2026-33823** (CVSS-Score: 9,6) - Unsachgemäße Autorisierung in Microsoft Teams. * **CVE-2026-35428** (CVSS-Score: 9,6) - Befehlsinjektion in Azure Cloud Shell. * **CVE-2026-40379** (CVSS-Score: 9,3) - Informationspreisgabe in Azure Entra ID. * **CVE-2026-40402** (CVSS-Score: 9,3) - Use-after-free in Windows Hyper-V. * **CVE-2026-41103** (CVSS-Score: 9,1) - Falsche Authentifizierung im Microsoft SSO Plugin für Jira & Confluence. * **CVE-2026-33117** (CVSS-Score: 9,1) - Unsachgemäße Authentifizierung im Azure SDK. * **CVE-2026-42833** (CVSS-Score: 9,1) - Ausführung mit unnötigen Rechten in Microsoft Dynamics 365 (on-premises). * **CVE-2026-33844** (CVSS-Score: 9,0) - Unsachgemäße Eingabevalidierung in Azure Managed Instance für Apache Cassandra. * **CVE-2026-40361** (CVSS-Score: 8,4) - Use-after-free in Microsoft Office Word. * **CVE-2026-40364** (CVSS-Score: 8,4) - Typenverwirrung in Microsoft Office Word. Adam Barnett von **Rapid7** hob **CVE-2026-41103** hervor und wies auf sein Potenzial für unbefugte Benutzeridentifikation und Umgehung von Entra ID hin. Jack Bicer von **Action1** bezeichnete **CVE-2026-42898** als kritisch, da sie authentifizierten Angreifern mit geringen Rechten die Ausführung von beliebigem Code über Dynamics CRM ermöglicht. Er betonte das ernste Risiko für Unternehmen aufgrund potenzieller Kompromittierung von Kundenaufzeichnungen, Workflows und integrierten Geschäftssystemen. ### Erinnerung an das Secure Boot-Zertifikat-Update Organisationen werden daran erinnert, ihre Windows Secure Boot-Zertifikate vor dem Ablauf der Zertifikate von 2011 im nächsten Monat auf die Versionen von 2023 zu aktualisieren. Diese Änderung wurde ursprünglich im November 2025 angekündigt. Rain Baker von Nightwing betonte die Kritikalität dieses Updates und warnte vor "katastrophalen Boot-Level-Sicherheitsfehlern" für Geräte, die bis zum Stichtag am 26. Juni 2026 nicht aktualisiert werden. ### Über 500 CVEs bisher im Jahr 2026 Laut Satnam Narang von **Tenable** hat **Microsoft** in den ersten fünf Monaten des Jahres 2026 bereits über 500 CVEs gepatcht, was die zunehmende Komplexität und das Volumen von Schwachstellen in moderner Software unterstreicht.