Microsoft Patchday: Zwei Zero-Days und insgesamt 83 neue Lücken gestopft

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Im März 2026 hat Microsoft Aktualisierungen für 83 neue Schwachstellen am Patchday in petto. Bei zwei der Lücken handelt es sich um Zero-Day-Schwachstellen. Immerhin wurde bislang offenbar noch keine davon in Angriffen im Netz missbraucht.

Microsoft selbst listet alle Schwachstelleneinträge, die das Unternehmen am März-Patchday veröffentlicht hat, in einer Übersicht auf. Davon stufen die Entwickler acht als kritische Bedrohung ein – zum Großteil abweichend von der oftmals deutlich niedrigeren Risikobewertung nach CVSS-Wert.

Microsoft kümmert sich um Zero-Day-Lücken

Informationen zu einer Schwachstelle im SQL-Server, die die Ausweitung der Rechte ermöglicht (CVE-2026-21262, CVSS 8.8, Risiko „hoch“) sowie eine Denial-of-Service-Lücke in .Net (CVE-2026-26127, CVSS 7.5, Risiko „hoch“) sind laut Microsoft bereits öffentlich verfügbar. Sie wurden jedoch noch nicht angegriffen und Microsoft schätzt die Lage so ein, dass deren Missbrauch unwahrscheinlich bleibt.

Als kritisches Risiko stufen die Entwickler aus Redmond Lücken in Microsofts „ACI Confidential Containers“ in Azure ein. Angreifer können dadurch ihre Rechte erhöhen oder unbefugt auf Informationen zugreifen (CVE-2026-23651, CVE-2026-26124, beides CVSS 6.7, Risiko „mittel“, sowie CVE-2026-26122, CVSS 6.5, Risiko „mittel“); Kunden müssen nichts unternehmen, Microsoft hat die Fehler serverseitig korrigiert. Etwas skurril mutet eine Sicherheitslücke in Microsofts Device Pricing Program an, durch die Angreifer Schadcode aus dem Netz einschleusen und hätten ausführen können (CVE-2026-21536, CVSS 9.8, Risiko „kritisch“). Dasselbe gilt für eine Lücke in Microsofts Payment Orchestrator Service (CVE-2026-26125, CVSS 8.6, Risiko „hoch“). Die hat Microsoft ebenfalls serverseitig geschlossen und informiert lediglich der Transparenz halber darüber.

In Microsoft Office erlauben zwei Sicherheitslücken das Einschleusen von Code aus dem Netz, etwa mittels sorgsam präparierter Dokumente. Dazu genügt bereits die Anzeige im Vorschaufenster (CVE-2026-26110, CVE-2026-26113, CVSS 8.4, Risiko „hoch“). In Excel können bösartige Akteure die Sandbox des Copilot-Agent-Modus umgehen und dabei unbefugt Informationen ins Netz ausleiten. Es handelt sich um eine Zero-Click-Lücke (CVE-2026-26144, CVSS 7.5, Risiko „hoch“).

Angreifer können den Windows-Druckerspooler mit manipulierten Netzwerkpaketen zur Ausführung von eingeschmuggeltem Schadcode bewegen. Dazu benötigen sie jedoch zumindest niedrige Berechtigungen auf dem Zielsystem (CVE-2026-23669, CVSS 8.8, Risiko „hoch“). Am Ende listet Microsoft noch zehn Schwachstellen im Chromium-Projekt auf, die mit aktuellen Edge-Updates geschlossen werden. Die hat Google in Chrome bereits in der vergangenen Woche ausgebessert. Die Updates für Windows bringen Secureboot-Zertifikatsaktualisierungen für mehr Geräte und etwa auch für Windows-10-Systeme mit.

Diverse weitere Sicherheitslücken betreffen zahlreiche Produkte und Dienste aus dem Microsoft-Portfolio. IT-Verantwortliche sollten daher die Microsoft-Übersicht durchsehen und in der eigenen Organisation eingesetzte, anfällige Produkte auf den aktuellen Stand bringen.

Im Februar hatte Microsoft am Patchday mehrere Sicherheitslücken schließen müssen, die bereits im Internet attackiert wurden. Sechs der dort geschlossenen Sicherheitslücken haben Kriminelle bereits vor dem Patchday missbraucht.

(dmk)