Der Microsoft Patchday im Juni 2026 bricht Rekorde, allerdings auf eine Weise, die IT-Abteilungen erhebliche Kopfschmerzen bereiten dürfte. Mit rund 200 behobenen Schwachstellen hat Microsoft den bisherigen Höchstwert aus dem Oktober 2025 regelrecht pulverisiert. Zählt man die Edge- und Drittanbieter-Patches hinzu, stehen Administratoren vor einem gewaltigen Berg von insgesamt 571 Sicherheitsfixes.
Hinter diesem plötzlichen Anstieg der Zahlen steht eine strukturelle Veränderung in der IT-Welt. Die automatisierte Schwachstellensuche durch künstliche Intelligenz hat auf beiden Seiten massiv an Fahrt aufgenommen. Sowohl unabhängige Sicherheitsforscher als auch Microsoft selbst decken Sicherheitslücken heute in einem beispiellosen Tempo auf. Dreistellige Patch-Zahlen pro Monat werden damit dauerhaft zum Standard für Systemadministratoren.
Unser detaillierter Überblick zeigt, auf welchen Systemen die Bedrohung aktuell am größten ist und wie Sie Ihre IT-Infrastruktur wirksam vor Angriffen schützen.
Die nackten Zahlen im Überblick
In der aktuellen Veröffentlichung listet Microsoft offiziell 198 eigene Schwachstellen auf, während externe Quellen von bis zu 206 einzigartigen Sicherheitslücken sprechen. Unter diesen Schwachstellen stuft der Hersteller 32 Sicherheitslücken als kritisch ein, wobei vor allem die Remotecodeausführungen das größte Risiko bergen. Zudem machten den Sicherheitsforschern drei bereits im Vorfeld öffentlich bekannte Zero-Day-Lücken Sorge. Gleich drei unauthentifizierte Schwachstellen zur Remotecodeausführung erreichen diesen Monat mit einem CVSS-Score von 9,8 die höchste Risikobewertung.
Die kritischsten Brennpunkte im Detail
Wer gehofft hatte, diesen Patch-Zyklus ohne größere Anpassungen durchlaufen zu können, muss umplanen. Mehrere Lücken betreffen fundamentale Dienste der Windows-Architektur. Es folgt die detaillierte technische Aufarbeitung der wichtigsten Patches dieses Monats.
1. BitLocker-Bypass YellowKey (CVE-2026-45585 / CVE-2026-50507)
CVSS-Score: 6,8
SCHWERWIEGENDKEIT: Hoch
BEDROHUNG: Security Feature Bypass (Umgehung von Sicherheitsfunktionen)
EXPLOITS: Die Schwachstelle ist öffentlich bekannt. Das kontroverse Sicherheitsforscher-Kollektiv Nightmare Eclipse hat einen voll funktionsfähigen Proof-of-Concept-Exploit publiziert, um gegen die Vergabepraxis von Microsofts Bug-Bounty-Programm zu protestieren.
TECHNISCHE ZUSAMMENFASSUNG: Der Fehler betrifft die Kommunikation zwischen der Windows-Wiederherstellungsumgebung (WinRE) und dem BitLocker-Verschlüsselungsmechanismus während des Systemstarts. Angreifer können manipulierte Konfigurationsdateien auf einem FAT32-formatierten USB-Laufwerk oder direkt in der unverschlüsselten EFI-Systempartition ablegen. Beim Booten in die WinRE-Umgebung sorgt eine Timing-Schwachstelle in Kombination mit einer physischen Tastenkombination wie dem Drücken der STRG-Taste dafür, dass der Boot-Manager eine ungesicherte Befehlszeile mit SYSTEM-Rechten öffnet. Da dieser Zugriff erfolgt, während die BitLocker-Schlüssel bereits durch das Trusted Platform Module im Arbeitsspeicher freigegeben wurden, erhält der Angreifer direkten Lese- und Schreibzugriff auf das verschlüsselte Laufwerk.
AUSNUTZBARKEIT: Ein erfolgreicher Angriff setzt physischen oder direkten lokalen Zugriff auf das Gerät voraus. Anmeldedaten oder eine aktive Benutzersitzung sind nicht erforderlich. Die Ausnutzung ist zuverlässig und lässt sich über ein vorbereitetes USB-Medium innerhalb weniger Sekunden automatisieren. Besonders gefährdet sind Systeme, die standardmäßig auf eine reine TPM-Verschlüsselung setzen und beim Starten keine PIN-Eingabe verlangen.
AUSWIRKUNGEN AUF DAS GESCHÄFT: Das Risiko für Notebooks im Außendienst und Homeoffice ist extrem hoch. Bei Verlust oder Diebstahl eines Geräts bietet die BitLocker-Verschlüsselung keinen wirksamen Schutz mehr für sensible Unternehmensdaten. Angreifer können geistiges Eigentum kopieren, Schadcode direkt in die Systempartition schreiben oder Spionage-Software installieren. Aus Sicht der DSGVO erlischt bei einem Geräteverlust der Schutzstatus der sicheren Verschlüsselung, was den Vorfall sofort meldepflichtig macht.
WORKAROUND: Die wirksamste Sofortmaßnahme ist das Erzwingen einer BitLocker-Pre-Boot-Authentifizierung mittels Gruppenrichtlinie. Der Pfad hierzu lautet Computerkonfiguration, Administrative Vorlagen, Windows-Komponenten, BitLocker-Laufwerkverschlüsselung, Betriebssystemlaufwerke, Zusätzliche Authentifizierung beim Start anfordern. Dadurch wird beim Booten zwingend eine PIN oder ein Startschlüssel verlangt. Alternativ lässt sich die Windows-Wiederherstellungsumgebung auf gefährdeten Systemen über den Befehl reagentc /disable in der Eingabeaufforderung komplett abschalten.
DRINGLICHKEIT: Sehr hoch für alle mobilen Endgeräte, die außerhalb des geschützten Firmennetzwerks betrieben werden.
2. HTTP.sys Remote Code Execution (CVE-2026-47291)
CVSS-Score: 9,8
SCHWERWIEGENDKEIT: Kritisch
BEDROHUNG: Remote Code Execution (RCE / Remotecodeausführung)
EXPLOITS: Bisher wurden keine aktiven Angriffe beobachtet, allerdings stuft Microsoft die Ausnutzung im realen Betrieb als wahrscheinlich ein. Es ist davon auszugehen, dass Cyberkriminelle den Patch durch Reverse Engineering analysieren, um zeitnah funktionierende Exploits zu entwickeln.
TECHNISCHE ZUSAMMENFASSUNG: Die Schwachstelle befindet sich im Kernelmodus-Treiber http.sys, der für die Verarbeitung eingehender HTTP-Anfragen in Windows zuständig ist. Ein Integer-Underflow-Speicherfehler tritt auf, wenn der Treiber speziell manipulierte, tief verschachtelte oder fehlerhafte HTTP-Header verarbeitet, insbesondere im Zusammenhang mit Chunked-Transfer-Encoding. Ein Angreifer kann ein präpariertes TCP-Paket an einen offenen HTTP-Port senden, wodurch der Treiber im nicht-ausgelagerten Kernel-Pool falsche Speicherbereiche überschreibt. Dies ermöglicht das Ausführen von beliebigem Schadcode im Kontext von NT AUTHORITY\SYSTEM, ohne dass eine Interaktion auf Anwendungsebene im IIS-Prozess stattfinden muss.
AUSNUTZBARKEIT: Die Lücke lässt sich extrem einfach und ohne vorherige Authentifizierung über das Netzwerk ausnutzen. Jedes System, das Internet Information Services, Exchange Server, SQL Server Reporting Services oder andere Webdienste betreibt, die an den HTTP-Stack von Windows gekoppelt sind, ist über Port 80 oder 443 direkt angreifbar.
AUSWIRKUNGEN AUF DAS GESCHÄFT: Ein erfolgreicher Angriff führt zur sofortigen und vollständigen Übernahme des betroffenen Webservers oder Exchange-Systems. Da der Schadcode direkt im Kernel-Bereich ausgeführt wird, können installierte Endpoint-Protection-Systeme sofort manipuliert oder deaktiviert und Log-Dateien gelöscht werden. Angreifer können Daten abziehen, Datenbanken verschlüsseln und den Server als Basis nutzen, um sich weiter im internen Unternehmensnetzwerk auszubreiten.
WORKAROUND: Als temporäre Schutzmaßnahme sollten externe Firewalls oder Web Application Firewalls so konfiguriert werden, dass sie eingehenden HTTP-Verkehr streng prüfen und fehlerhafte Header-Strukturen verwerfen. Zudem sollte der Registrierungswert MaxRequestBytes unter HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters auf dem Standardwert verbleiben oder restriktiver konfiguriert werden, um die maximale Paketgröße für Header zu begrenzen.
DRINGLICHKEIT: Kritisch, das sofortige Patchen aller Webserver und Exchange-Systeme hat oberste Priorität.
3. DHCP-Client Remote Code Execution (CVE-2026-44815)
CVSS-Score: 9,8
SCHWERWIEGENDKEIT: Kritisch
BEDROHUNG: Remote Code Execution (RCE / Remotecodeausführung)
EXPLOITS: Derzeit sind keine aktiven Exploits bekannt, das Bedrohungspotenzial für Angriffe innerhalb lokaler Netzwerke ist jedoch extrem hoch.
TECHNISCHE ZUSAMMENFASSUNG: Im Windows-DHCP-Client-Dienst dhcpcore.dll existiert eine unzureichende Validierung eingehender DHCP-Lease-Antwortpakete. Wenn ein Windows-System im Netzwerk nach einer IP-Adresse sucht, kann ein Angreifer mit einem gefälschten DHCP-Server antworten. Durch das Senden eines präparierten DHCP-Offer- oder ACK-Pakets, das überdimensionierte oder ungültige Optionsfelder enthält, wird im DHCP-Client-Prozess ein Heap-basierter Pufferüberlauf ausgelöst. Da der DHCP-Client mit SYSTEM-Rechten läuft, führt dieser Überlauf zur Ausführung von Schadcode, noch bevor das Betriebssystem die IP-Konfiguration abgeschlossen hat.
AUSNUTZBARKEIT: Die Schwachstelle ist sehr leicht ausnutzbar, erfordert jedoch, dass sich der Angreifer im selben physischen oder logischen Netzwerksegment wie das Opfer befindet. Da der DHCP-Client auf nahezu jedem Windows-System standardmäßig aktiv ist, ist die Angriffsfläche enorm groß. Selbst wenn auf Servern statische IP-Adressen konfiguriert sind, bleibt der Dienst für die DHCPv6-Verarbeitung und Autokonfiguration aktiv.
AUSWIRKUNGEN AUF DAS GESCHÄFT: Die Schwachstelle ermöglicht Angreifern ein hochgradig gefährliches seitliches Eindringen in das Netzwerk. Sobald ein einzelnes Gerät im Firmennetzwerk kompromittiert ist, kann der Angreifer einen gefälschten DHCP-Server starten und jedes andere Windows-System im selben Subnetz infizieren. Besonders gefährdet sind Mitarbeiter, die sich mit ihren Geschäfts-Notebooks in öffentlichen oder ungesicherten WLAN-Netzen in Hotels oder Zügen aufhalten.
WORKAROUND: In Unternehmensnetzwerken sollte DHCP Snooping auf allen verwalteten Switchen aktiviert werden. Dies stellt sicher, dass DHCP-Antwortpakete nur von explizit autorisierten Switch-Ports weitergeleitet werden, an denen legitime DHCP-Server angeschlossen sind. Für Außendienstmitarbeiter sollte ein Always-On-VPN erzwungen werden, das jeglichen lokalen Netzwerkverkehr blockiert, bevor der VPN-Tunnel sicher aufgebaut wurde.
DRINGLICHKEIT: Sehr hoch, besonders kritisch für flache Netzwerke und mobile Endgeräte.
4. Windows Kernel TCP/IP Remote Code Execution (CVE-2026-45657)
CVSS-Score: 9,8
SCHWERWIEGENDKEIT: Kritisch
BEDROHUNG: Remote Code Execution (RCE / Wurmfähige Schwachstelle)
EXPLOITS: Es sind keine aktiven Angriffe dokumentiert, allerdings besitzt die Lücke das Potenzial für einen sich selbst verbreitenden Exploit, ähnlich wie bei den Mechanismen von WannaCry.
TECHNISCHE ZUSAMMENFASSUNG: Die Schwachstelle befindet sich im Windows-Kernel-Netzwerktreiber tcpip.sys und beruht auf einem Out-of-Bounds-Schreibfehler bei der Verarbeitung von speziell fragmentierten IPv6-Paketen oder komplexen IPv4-Optionsfeldern. Wenn der Netzwerktreiber versucht, die ankommenden Datenpakete im Speicher wieder zusammenzusetzen, kommt es aufgrund fehlerhafter Längenprüfungen zu einer Speicherüberschreibung im Kernel-Pool. Ein Angreifer kann dadurch Schadcode direkt mit den höchsten Rechten des Betriebssystems auf Kernel-Ebene ausführen, ohne dass ein Dienst im Benutzermodus involviert sein muss.
AUSNUTZBARKEIT: Für den Angriff ist weder eine Benutzerinteraktion noch eine Authentifizierung erforderlich. Der Angriff erfolgt direkt auf der untersten Netzwerkprotokollebene. Es muss kein bestimmter Port oder Dienst am Zielsystem geöffnet sein, es genügt, wenn die Netzwerkkarte des Opfers die bösartigen TCP/IP-Pakete empfängt und verarbeitet.
AUSWIRKUNGEN AUF DAS GESCHÄFT: Das Bedrohungsszenario ist schwerwiegend. Da die Schwachstelle wurmfähig ist, kann sich ein einmal entwickelter Exploit vollautomatisch von einem infizierten System zum nächsten durch das gesamte Netzwerk verbreiten. Innerhalb weniger Minuten könnte eine Ransomware-Welle ein komplettes Firmennetzwerk lahmlegen, Active Directories kompromittieren und Backups löschen.
WORKAROUND: Wenn IPv6 im lokalen Netzwerk nicht zwingend benötigt wird, kann das Deaktivieren von IPv6 an den Netzwerkkarten eine Teillösung bieten. Microsoft rät jedoch davon ab, da viele interne Windows-Dienste IPv6 voraussetzen. Eine robustere Maßnahme ist eine strikte Netzwerksegmentierung über Firewalls und das Blockieren von fragmentiertem ICMPv6- und Raw-IP-Verkehr an den internen Netzwerkgrenzen.
DRINGLICHKEIT: Kritisch, das sofortige Einspielen der kumulativen Windows-Updates auf allen Systemen ist zwingend erforderlich.
5. HTTP/2 Denial of Service HTTP/2 Bomb (CVE-2026-49160)
CVSS-Score: 7,5
SCHWERWIEGENDKEIT: Hoch
BEDROHUNG: Denial of Service (DoS / Serverabsturz durch Ressourcenerschöpfung)
EXPLOITS: Die Schwachstelle ist öffentlich bekannt. Die IT-Sicherheitsfirma Calif. hat die technische Funktionsweise dieser Schwachstelle im Detail analysiert und publiziert.
TECHNISCHE ZUSAMMENFASSUNG: Die HTTP/2 Bomb nutzt eine konzeptionelle Schwachstelle im HPACK-Komprimierungsalgorithmus des HTTP/2-Protokolls aus. HPACK komprimiert HTTP-Header, um Bandbreite zu sparen. Ein Angreifer sendet extrem kleine HTTP/2-Frames, die so konstruiert sind, dass sie sich beim Dekomprimieren auf dem Webserver auf eine gigantische Datenmenge aufblähen, vergleichbar mit einer klassischen Zip-Bombe. Der HTTP.sys-Treiber wird gezwungen, riesige Mengen an RAM und CPU-Leistung bereitzustellen, um diese unendlichen Header-Daten zu verarbeiten. Durch die gezielte Manipulation von Flow-Control-Frames kann der Angreifer zudem verhindern, dass der Server diesen belegten Speicher wieder freigibt.
AUSNUTZBARKEIT: Der Angriff ist sehr einfach und mit minimalem Bandbreitenaufwand für den Angreifer realisierbar. Jeder Webserver, jede Web-API oder jedes Portal, das HTTP/2-Verbindungen über den Windows HTTP-Stack akzeptiert, ist direkt aus dem Internet angreifbar. Eine Anmeldung ist nicht erforderlich.
AUSWIRKUNGEN AUF DAS GESCHÄFT: Der Server erleidet eine massive Ressourcenerschöpfung, friert ein oder stürzt mit einem Blue Screen ab. Für Unternehmen, die Online-Shops, Kundenportale oder geschäftskritische Web-APIs betreiben, führt dies zu unvorhergesehenen Ausfallzeiten, verletzten Service-Level-Agreements, direktem Umsatzverlust und erheblichen Reputationsschäden.
WORKAROUND: Microsoft hat mit diesem Patchday eine neue Sicherheitssteuerung in die Registry integriert. Administratoren können die maximale Anzahl an erlaubten Headern pro HTTP/2- und HTTP/3-Verbindung limitieren. Erstellen Sie hierzu unter dem Pfad HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters einen neuen DWORD-Wert mit dem Namen MaxHeadersCount und setzen Sie diesen auf einen restriktiven Wert wie 100 dezimal, wie in KB5102602 beschrieben. Alternativ kann HTTP/2 im IIS temporär deaktiviert werden, wodurch der Server auf das ältere HTTP/1.1 zurückfällt.
DRINGLICHKEIT: Hoch, insbesondere für alle internetseitig erreichbaren Web- und Anwendungsserver.
6. GreenPlasma (CVE-2026-45586)
CVSS-Score: 7,8
SCHWERWIEGENDKEIT: Hoch
BEDROHUNG: Privilege Escalation (Lokale Rechteausweitung)
EXPLOITS: Die Schwachstelle ist öffentlich bekannt. Der Exploit-Code wurde im Zuge der Veröffentlichungen von Nightmare Eclipse ins Netz gestellt.
TECHNISCHE ZUSAMMENFASSUNG: Die Schwachstelle betrifft das Windows Collaborative Translation Framework, das oft mit dem Prozess ctfmon.exe assoziiert wird und für Texteingaben und Sprachunterstützung zuständig ist. Es handelt sich um einen Fehler bei der Link-Auflösung. Ein Angreifer mit einem unprivilegierten Benutzerkonto kann im Dateisystem symbolische Verknüpfungen erstellen, die auf geschützte Systemverzeichnisse verweisen. Wenn der CTF-Dienst versucht, temporäre Übersetzungsdaten in den Benutzerpfad zu schreiben, folgt er dem präparierten Link und überschreibt oder modifiziert Systemdateien mit vollen SYSTEM-Rechten.
AUSNUTZBARKEIT: Der Angriff setzt lokalen Zugriff voraus. Der Angreifer muss in der Lage sein, Code auf dem System auszuführen, entweder als lokaler Standardbenutzer, über eine RDP-Sitzung oder durch ein zuvor eingeschleustes, niedrig privilegiertes Schadprogramm. Der Exploit ist extrem zuverlässig und liefert dem Angreifer sofort eine interaktive Eingabeaufforderung als SYSTEM.
AUSWIRKUNGEN AUF DAS GESCHÄFT: Lokale Sicherheitsbarrieren werden komplett ausgehebelt. Sobald ein Angreifer, beispielsweise über eine Phishing-Mail, einen Fuß in der Tür hat, kann er sich mithilfe dieser Lücke administrative Rechte verschaffen. Er kann Antiviren-Dienste beenden, Passwörter aus dem LSASS-Speicher auslesen und Ransomware im gesamten System ausführen.
WORKAROUND: Es gibt keinen direkten Registry-Schalter, um das CTF-Framework abzuschalten, ohne die Tastatureingabe von Windows massiv zu beeinträchtigen. Administratoren sollten sicherstellen, dass unprivilegierte Benutzer keine unbekannten ausführbaren Dateien in beschreibbaren Verzeichnissen wie %temp% starten dürfen, was sich über AppLocker konfigurieren lässt. Zudem sollte das EDR-System so eingestellt werden, dass es verdächtige Kindprozesse, die direkt von ctfmon.exe gestartet werden, sofort blockiert.
DRINGLICHKEIT: Hoch, besonders kritisch auf Terminalservern, Citrix-Umgebungen und Systemen, die von mehreren Benutzern geteilt werden.
Patchmanagement im Zeitalter von KI: Die Spielregeln ändern sich
Die schiere Masse an Patches in diesem Monat zeigt deutlich, dass das manuelle Patchmanagement am Wochenende endgültig der Vergangenheit angehört. Sicherheitsverantwortliche können nicht mehr darauf hoffen, jeden Monat einfach schnell alles einzuspielen, ohne die Betriebsstabilität zu gefährden. KI-gestützte Tools erleichtern es Angreifern zudem, veröffentlichte Patches extrem schnell mittels Reverse Engineering zu analysieren und passende Exploits zu bauen. Das Zeitfenster zwischen der Veröffentlichung eines Patches und seiner aktiven Ausnutzung schrumpft rasant. Für Unternehmen ist ein strukturierter, automatisierter und priorisierter Rollout-Prozess mittlerweile überlebenswichtig, besonders im Hinblick auf die strengen gesetzlichen Vorgaben der NIS-2-Richtlinie.
Handlungsempfehlungen für Ihre IT-Infrastruktur
Zur Absicherung Ihrer Systeme sollten Sie Webserver und Endpunkte konsequent priorisieren. Patchen Sie Systeme mit öffentlich erreichbaren IIS-Instanzen wegen des HTTP.sys-Fehlers sowie zentrale Infrastruktur-Server wie Active Directory und DHCP zuerst.
Danach empfiehlt sich eine genaue Überprüfung der HTTP.sys-Konfiguration. Nutzen Sie PowerShell, um zu verifizieren, ob Ihre Webserver von den neuen Header-Limits Gebrauch machen und ob abweichende Registrierungswerte vorliegen.
Führen Sie den Rollout der Updates unbedingt in Wellen durch. Aufgrund der enormen Menge an Codeänderungen in diesem Monat ist das Risiko von Kompatibilitätsproblemen stark erhöht. Testen Sie die Updates zuerst auf einer repräsentativen Gruppe von Testgeräten, bevor Sie die Aktualisierungen in der gesamten Umgebung verteilen.
Zuletzt sollten Sie den tatsächlichen Update-Status verifizieren. Verlassen Sie sich nicht blind auf die Standard-Anzeige von Windows Update, sondern nutzen Sie professionelle Asset- und Compliance-Schnittstellen, um sicherzustellen, dass die KB-Stände auf allen Systemen lückenlos aktiv sind.
Sicherheitsupdates vom Patch Tuesday im Juni 2026
Nachfolgend finden Sie die vollständige Liste der behobenen Sicherheitslücken in den Updates vom Patch Tuesday im Juni 2026.
| Tag | CVE ID | CVE Title | Severity |
|---|---|---|---|
| .NET | CVE-2026-45491 | .NET Tampering Vulnerability | Important |
| .NET | CVE-2026-45490 | .NET SDK Elevation of Privilege Vulnerability | Important |
| Active Directory Domain Services | CVE-2026-45648 | Windows Active Directory Domain Services Remote Code Execution Vulnerability | Critical |
| ASP.NET Core | CVE-2026-45591 | ASP.NET Core Denial of Service Vulnerability | Important |
| Azure Stack Edge | CVE-2026-47643 | Azure Stack Edge Remote Code Execution Vulnerability | Important |
| Azure Stack Edge | CVE-2026-41098 | Azure Stack Edge Spoofing Vulnerability | Important |
| Function Discovery Service (fdwsd.dll) | CVE-2026-42836 | Windows Function Discovery Service (fdwsd.dll) Elevation of Privilege Vulnerability | Important |
| GitHub Copilot and Visual Studio Code | CVE-2026-45482 | Microsoft Visual Studio Code CoPilot Chat Extension Security Feature Bypass Vulnerability | Important |
| HTTP/2 | CVE-2026-49160 | HTTP.sys Denial of Service Vulnerability | Important |
| Linux MANA Driver | CVE-2026-45476 | Microsoft Azure Network Adapter Elevation of Privilege Vulnerability | Critical |
| Microsoft Azure Attestation service and Device Health Attestation Service | CVE-2026-45642 | Microsoft Azure Attestation service and Device Health Attestation Service Spoofing Vulnerability | Important |
| Microsoft Azure Attestation service and Device Health Attestation Service | CVE-2026-33828 | Windows Device Health Attestation (DHA) Elevation of Privilege Vulnerability | Critical |
| Microsoft Azure Kubernetes Service | CVE-2026-32193 | Azure Kubernetes Service (AKS) Remote Code Execution Vulnerability | Critical |
| Microsoft Bing | CVE-2026-45650 | Microsoft Bing Search Spoofing Vulnerability | Important |
| Microsoft Defender for Endpoint | CVE-2026-45647 | Microsoft Defender for Endpoint for Mac Elevation of Privilege Vulnerability | Important |
| Microsoft Dynamics 365 (on-premises) | CVE-2026-40371 | Microsoft Dynamics 365 (on-premises) Elevation of Privilege Vulnerability | Important |
| Microsoft Exchange Server | CVE-2026-45500 | Microsoft Exchange Server Spoofing Vulnerability | Important |
| Microsoft Exchange Server | CVE-2026-45501 | Microsoft Exchange Server Spoofing Vulnerability | Important |
| Microsoft Exchange Server | CVE-2026-47631 | Microsoft Exchange Server Spoofing Vulnerability | Important |
| Microsoft Exchange Server | CVE-2026-45503 | Microsoft Exchange Server Information Disclosure Vulnerability | Important |
| Microsoft Exchange Server | CVE-2026-45504 | Microsoft Exchange Server Elevation of Privilege Vulnerability | Important |
| Microsoft Exchange Server | CVE-2026-45502 | Microsoft Exchange Server Information Disclosure Vulnerability | Important |
| Microsoft Exchange Server | CVE-2026-45583 | Microsoft Exchange Server Remote Code Execution Vulnerability | Important |
| Microsoft Graphics Component | CVE-2026-42986 | Microsoft Graphics Component Elevation of Privilege Vulnerability | Important |
| Microsoft Kinect | CVE-2026-41092 | Microsoft Kinect Elevation of Privilege Vulnerability | Important |
| Microsoft Live Share Canvas SDK | CVE-2026-45644 | Microsoft Live Share Canvas SDK Elevation of Privilege Vulnerability | Important |
| Microsoft Office | CVE-2026-45463 | Microsoft Office Remote Code Execution Vulnerability | Critical |
| Microsoft Office | CVE-2026-44821 | Microsoft Office Information Disclosure Vulnerability | Important |
| Microsoft Office | CVE-2026-45474 | Microsoft Office Remote Code Execution Vulnerability | Critical |
| Microsoft Office | CVE-2026-44819 | Microsoft Office Remote Code Execution Vulnerability | Important |
| Microsoft Office | CVE-2026-44824 | Microsoft Office Remote Code Execution Vulnerability | Important |
| Microsoft Office | CVE-2026-45485 | Microsoft Office Information Disclosure Vulnerability | Important |
| Microsoft Office | CVE-2026-45645 | Microsoft Office Remote Code Execution Vulnerability | Important |
| Microsoft Office | CVE-2026-45472 | Microsoft Office Remote Code Execution Vulnerability | Critical |
| Microsoft Office | CVE-2026-45458 | Microsoft Outlook and Word Remote Code Execution Vulnerability | Critical |
| Microsoft Office | CVE-2026-45460 | Microsoft Office Information Disclosure Vulnerability | Critical |
| Microsoft Office | CVE-2026-47635 | Microsoft Outlook and Word Remote Code Execution Vulnerability | Critical |
| Microsoft Office | CVE-2026-45456 | Microsoft Outlook and Word Remote Code Execution Vulnerability | Critical |
| Microsoft Office | CVE-2026-45461 | Microsoft Office Remote Code Execution Vulnerability | Critical |
| Microsoft Office | CVE-2026-45475 | Microsoft Office Remote Code Execution Vulnerability | Important |
| Microsoft Office Click-To-Run | CVE-2026-47293 | Microsoft Office Click-To-Run Elevation of Privilege Vulnerability | Important |
| Microsoft Office Excel | CVE-2026-44820 | Microsoft Excel Remote Code Execution Vulnerability | Important |
| Microsoft Office Excel | CVE-2026-44818 | Microsoft Excel Remote Code Execution Vulnerability | Important |
| Microsoft Office Excel | CVE-2026-44817 | Microsoft Excel Remote Code Execution Vulnerability | Important |
| Microsoft Office Excel | CVE-2026-45469 | Microsoft Excel Remote Code Execution Vulnerability | Important |
| Microsoft Office Excel | CVE-2026-44822 | Microsoft Excel Information Disclosure Vulnerability | Important |
| Microsoft Office Excel | CVE-2026-45455 | Microsoft Excel Information Disclosure Vulnerability | Important |
| Microsoft Office Excel | CVE-2026-44823 | Microsoft Excel Remote Code Execution Vulnerability | Important |
| Microsoft Office Excel | CVE-2026-45459 | Microsoft Excel Security Feature Bypass Vulnerability | Important |
| Microsoft Office Project | CVE-2026-45483 | Microsoft Office Project Server Spoofing Vulnerability | Important |
| Microsoft Office SharePoint | CVE-2026-45484 | Microsoft SharePoint Elevation of Privilege Vulnerability | Important |
| Microsoft Office SharePoint | CVE-2026-45465 | Microsoft SharePoint Server Spoofing Vulnerability | Important |
| Microsoft Office SharePoint | CVE-2026-47634 | Microsoft SharePoint Server Spoofing Vulnerability | Important |
| Microsoft Office SharePoint | CVE-2026-47640 | Microsoft SharePoint Server Spoofing Vulnerability | Important |
| Microsoft Office SharePoint | CVE-2026-45481 | Microsoft SharePoint Server Spoofing Vulnerability | Important |
| Microsoft Office SharePoint | CVE-2026-45468 | Microsoft SharePoint Server Spoofing Vulnerability | Important |
| Microsoft Office SharePoint | CVE-2026-47638 | Microsoft SharePoint Server Spoofing Vulnerability | Important |
| Microsoft Office SharePoint | CVE-2026-47639 | Microsoft SharePoint Server Spoofing Vulnerability | Important |
| Microsoft Office SharePoint | CVE-2026-47641 | Microsoft SharePoint Server Spoofing Vulnerability | Important |
| Microsoft Office SharePoint | CVE-2026-47637 | Microsoft SharePoint Server Spoofing Vulnerability | Important |
| Microsoft Office SharePoint | CVE-2026-45467 | Microsoft SharePoint Server Spoofing Vulnerability | Important |
| Microsoft Office SharePoint | CVE-2026-45453 | Microsoft SharePoint Server Spoofing Vulnerability | Important |
| Microsoft Office SharePoint | CVE-2026-47636 | Microsoft SharePoint Server Spoofing Vulnerability | Important |
| Microsoft Office SharePoint | CVE-2026-48560 | Microsoft SharePoint Server Spoofing Vulnerability | Important |
| Microsoft Office SharePoint | CVE-2026-47298 | Microsoft SharePoint Server Remote Code Execution Vulnerability | Important |
| Microsoft Office SharePoint | CVE-2026-45454 | Microsoft SharePoint Remote Code Execution Vulnerability | Important |
| Microsoft Office SharePoint | CVE-2026-33113 | Microsoft SharePoint Server Spoofing Vulnerability | Important |
| Microsoft Office SharePoint | CVE-2026-45479 | Microsoft SharePoint Server Spoofing Vulnerability | Important |
| Microsoft Office SharePoint | CVE-2026-48562 | Microsoft SharePoint Server Spoofing Vulnerability | Important |
| Microsoft Office SharePoint | CVE-2026-45464 | Microsoft SharePoint Server Spoofing Vulnerability | Important |
| Microsoft Office SharePoint | CVE-2026-45462 | Microsoft SharePoint Server Spoofing Vulnerability | Important |
| Microsoft Office Word | CVE-2026-45643 | Microsoft Word Remote Code Execution Vulnerability | Important |
| Microsoft Office Word | CVE-2026-45457 | Microsoft Word Remote Code Execution Vulnerability | Important |
| Microsoft Office Word | CVE-2026-45486 | Microsoft Word Remote Code Execution Vulnerability | Important |
| Microsoft Office Word | CVE-2026-45471 | Microsoft Word Remote Code Execution Vulnerability | Important |
| Microsoft Office Word | CVE-2026-45466 | Microsoft Word Information Disclosure Vulnerability | Important |
| Microsoft PC Manager | CVE-2026-49161 | Microsoft PC Manager Security Feature Bypass Vulnerability | Important |
| Microsoft PowerToys | CVE-2026-42902 | Microsoft PowerToys Elevation of Privilege Vulnerability | Important |
| Microsoft Teams for Android | CVE-2026-42835 | Microsoft Teams for Android Information Disclosure Vulnerability | Important |
| Microsoft UxTheme Library (uxtheme.dll) | CVE-2026-45606 | Microsoft UxTheme Library (uxtheme.dll) Denial of Service Vulnerability | Important |
| Microsoft Windows DNS | CVE-2026-41108 | Windows DNS Client Elevation of Privilege Vulnerability | Important |
| Nuance PowerScribe | CVE-2026-26142 | Nuance PowerScribe Remote Code Execution Vulnerability | Critical |
| Office for Android | CVE-2026-45649 | Office for Android Spoofing Vulnerability | Important |
| Remote Desktop Client | CVE-2026-42993 | Remote Desktop Client Remote Code Execution Vulnerability | Important |
| Remote Desktop Client | CVE-2026-42985 | Remote Desktop Client Remote Code Execution Vulnerability | Critical |
| Remote Desktop Client | CVE-2026-47653 | Remote Desktop Client Remote Code Execution Vulnerability | Important |
| Remote Desktop Client | CVE-2026-47289 | Remote Desktop Client Remote Code Execution Vulnerability | Critical |
| Remote Desktop Client | CVE-2026-42909 | Remote Desktop Client Remote Code Execution Vulnerability | Important |
| Remote Desktop Client | CVE-2026-47654 | Remote Desktop Client Remote Code Execution Vulnerability | Critical |
| Remote Desktop Client | CVE-2026-42992 | Remote Desktop Client Remote Code Execution Vulnerability | Critical |
| Remote Desktop Client | CVE-2026-42913 | Remote Desktop Client Remote Code Execution Vulnerability | Important |
| Remote Desktop Client | CVE-2026-44801 | Remote Desktop Client Remote Code Execution Vulnerability | Critical |
| Remote Desktop Client | CVE-2026-44799 | Remote Desktop Client Remote Code Execution Vulnerability | Critical |
| Remote Desktop Client | CVE-2026-48563 | Remote Desktop Client Remote Code Execution Vulnerability | Critical |
| Role: Windows Hyper-V | CVE-2026-45641 | Windows Hyper-V Remote Code Execution Vulnerability | Critical |
| Role: Windows Hyper-V | CVE-2026-42972 | Windows Hyper-V Information Disclosure Vulnerability | Important |
| UI Automation Manager (uiamanager.dll) | CVE-2026-45597 | Windows UI Automation Manager (uiamanager.dll) Elevation of Privilege Vulnerability | Important |
| Universal Plug and Play (upnp.dll) | CVE-2026-45599 | Windows UPnP Device Host Remote Code Execution Vulnerability | Important |
| Universal Plug and Play (upnp.dll) | CVE-2026-45635 | Windows UPnP Device Host Remote Code Execution Vulnerability | Important |
| Visual Studio Code | CVE-2026-47287 | Visual Studio Code Tampering Vulnerability | Important |
| Visual Studio Code | CVE-2026-47292 | Visual Studio Code MSSQL Extension Remote Code Execution Vulnerability | Important |
| Visual Studio Code | CVE-2026-40376 | Visual Studio Code Elevation of Privilege Vulnerability | Important |
| Visual Studio Code | CVE-2026-47284 | Visual Studio Code Information Disclosure Vulnerability | Important |
| Visual Studio Code | CVE-2026-47281 | Visual Studio Code Elevation of Privilege Vulnerability | Important |
| Visual Studio Code | CVE-2026-48569 | Visual Studio Code Security Feature Bypass Vulnerability | Important |
| Windows Administrator Protection | CVE-2026-42829 | Windows Administrator Protection Secure Feature Bypass Vulnerability | Important |
| Windows Ancillary Function Driver for WinSock | CVE-2026-42911 | Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability | Important |
| Windows Ancillary Function Driver for WinSock | CVE-2026-45598 | Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability | Important |
| Windows Ancillary Function Driver for WinSock | CVE-2026-45601 | Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability | Important |
| Windows Ancillary Function Driver for WinSock | CVE-2026-45603 | Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability | Important |
| Windows Ancillary Function Driver for WinSock | CVE-2026-34335 | Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability | Important |
| Windows Ancillary Function Driver for WinSock | CVE-2026-45596 | Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability | Important |
| Windows Ancillary Function Driver for WinSock | CVE-2026-45638 | Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability | Important |
| Windows Application Identity (AppID) Subsystem | CVE-2026-45604 | Windows Managed Installer Information Disclosure Vulnerability | Important |
| Windows Application Identity (AppID) Subsystem | CVE-2026-45594 | Windows Application Identity (AppID) Information Disclosure Vulnerability | Important |
| Windows BitLocker | CVE-2026-45658 | Windows BitLocker Security Feature Bypass Vulnerability | Important |
| Windows BitLocker | CVE-2026-50507 | Windows BitLocker Security Feature Bypass Vulnerability | Important |
| Windows BitLocker | CVE-2026-45655 | Windows BitLocker Security Feature Bypass Vulnerability | Important |
| Windows Bluetooth Port Driver | CVE-2026-45640 | Windows Bluetooth Port Driver Elevation of Privilege Vulnerability | Important |
| Windows Bluetooth Service | CVE-2026-45605 | Windows Bluetooth Service Elevation of Privilege Vulnerability | Important |
| Windows Boot Manager | CVE-2026-47656 | Windows Boot Manager Security Feature Bypass Vulnerability | Important |
| Windows Collaborative Translation Framework | CVE-2026-45586 | Windows Collaborative Translation Framework (CTFMON) Elevation of Privilege Vulnerability | Important |
| Windows Common Log File System Driver | CVE-2026-44809 | Windows Common Log File System Driver Elevation of Privilege Vulnerability | Important |
| Windows Cryptographic Services | CVE-2026-44810 | Microsoft Cryptographic Services Elevation of Privilege Vulnerability | Critical |
| Windows Deployment Services | CVE-2026-42987 | Windows Deployment Services (WDS) Remote Code Execution | Critical |
| Windows DHCP Client | CVE-2026-44815 | DHCP Client Service Remote Code Execution Vulnerability | Critical |
| Windows DHCP Client | CVE-2026-45608 | Windows DHCP Client Information Disclosure Vulnerability | Important |
| Windows DHCP Server | CVE-2026-45634 | Windows DHCP Client Information Disclosure Vulnerability | Important |
| Windows DHCP Server | CVE-2026-45602 | Windows Dynamic Host Configuration Protocol (DHCP) Tampering Vulnerability | Important |
| Windows DWM Core Library | CVE-2026-44807 | Windows DWM Core Library Elevation of Privilege Vulnerability | Important |
| Windows DWM Core Library | CVE-2026-44814 | Windows DWM Core Library Information Disclosure Vulnerability | Important |
| Windows DWM Core Library | CVE-2026-44811 | Windows DWM Core Library Elevation of Privilege Vulnerability | Important |
| Windows DWM Core Library | CVE-2026-44808 | Windows DWM Core Library Elevation of Privilege Vulnerability | Important |
| Windows DWM Core Library | CVE-2026-48566 | Windows DWM Core Library Information Disclosure Vulnerability | Important |
| Windows DWM Core Library | CVE-2026-45637 | Microsoft DWM Core Library Elevation of Privilege Vulnerability | Important |
| Windows DWM Core Library | CVE-2026-42905 | Windows DWM Core Library Elevation of Privilege Vulnerability | Important |
| Windows DWM Core Library | CVE-2026-44813 | Windows DWM Core Library Elevation of Privilege Vulnerability | Important |
| Windows DWM Core Library | CVE-2026-42983 | Windows DWM Core Library Elevation of Privilege Vulnerability | Important |
| Windows DWM Core Library | CVE-2026-44802 | Windows DWM Core Library Elevation of Privilege Vulnerability | Important |
| Windows DWM Core Library | CVE-2026-44804 | Windows DWM Core Library Elevation of Privilege Vulnerability | Important |
| Windows Hotpatch Monitoring Service | CVE-2026-42910 | Windows Hotpatch Monitoring Service Elevation of Privilege Vulnerability | Important |
| Windows HTTP.sys | CVE-2026-47291 | HTTP.sys Remote Code Execution Vulnerability | Critical |
| Windows Hyper-V | CVE-2026-47652 | Windows Hyper-V Remote Code Execution Vulnerability | Critical |
| Windows Hyper-V | CVE-2026-45607 | Windows Hyper-V Remote Code Execution Vulnerability | Critical |
| Windows Internet (wininet.dll) | CVE-2026-45592 | Windows Internet (wininet.dll) Elevation of Privilege Vulnerability | Important |
| Windows Kerberos | CVE-2026-47288 | Windows Kerberos Key Distribution Center (KDC) Remote Code Execution | Critical |
| Windows Kerberos | CVE-2026-42914 | Windows Kerberos Denial of Service Vulnerability | Important |
| Windows Kerberos | CVE-2026-42903 | Windows Kerberos Denial of Service Vulnerability | Important |
| Windows Kernel | CVE-2026-42984 | Windows Kernel Elevation of Privilege Vulnerability | Important |
| Windows Kernel | CVE-2026-45653 | Windows Kernel Elevation of Privilege Vulnerability | Important |
| Windows Kernel | CVE-2026-48583 | Windows Kernel Elevation of Privilege Vulnerability | Important |
| Windows Kernel | CVE-2025-10263 | ARM: CVE-2025-10263 Completion of affected memory accesses might not be guaranteed by completion of a TLBI [kernel] | Critical |
| Windows Kernel | CVE-2026-45657 | Windows Kernel Remote Code Execution Vulnerability | Critical |
| Windows Kernel-Mode Drivers | CVE-2026-45600 | Windows Kernel-Mode Driver Elevation of Privilege Vulnerability | Important |
| Windows Mark of the Web (MOTW) | CVE-2026-45595 | Windows Mark of the Web Security Feature Bypass Vulnerability | Important |
| Windows Media | CVE-2026-48574 | Windows Media Remote Code Execution Vulnerability | Critical |
| Windows Narrator Braille | CVE-2026-48565 | Windows Narrator Braille Elevation of Privilege Vulnerability | Important |
| Windows Network Controller (NC) Host Agent | CVE-2026-44805 | Windows Network Controller (NC) Host Agent Denial of Service Vulnerability | Important |
| Windows NT OS Kernel | CVE-2026-42980 | NT OS Kernel Elevation of Privilege Vulnerability | Important |
| Windows NT OS Kernel | CVE-2026-42916 | NT OS Kernel Elevation of Privilege Vulnerability | Important |
| Windows NTFS | CVE-2026-45636 | Windows NTFS Remote Code Execution Vulnerability | Important |
| Windows NTLM | CVE-2026-50508 | Windows NTLM Spoofing Vulnerability | Important |
| Windows Performance Monitor | CVE-2026-42981 | Windows Performance Monitor Remote Code Execution Vulnerability | Important |
| Windows Performance Monitor | CVE-2026-42974 | Windows Performance Monitor Remote Code Execution Vulnerability | Important |
| Windows Program Compatibility Assistant Service | CVE-2026-45487 | Windows Program Compatibility Assistant Service Elevation of Privilege Vulnerability | Important |
| Windows Projected File System Filter Driver | CVE-2026-42828 | Windows Projected File System Elevation of Privilege Vulnerability | Important |
| Windows Projected File System Filter Driver | CVE-2026-42837 | Windows Projected File System Elevation of Privilege Vulnerability | Important |
| Windows Push Notifications | CVE-2026-42991 | Windows Push Notifications Elevation of Privilege Vulnerability | Important |
| Windows Push Notifications | CVE-2026-42977 | Windows Push Notifications Elevation of Privilege Vulnerability | Important |
| Windows Push Notifications | CVE-2026-42979 | Windows Push Notifications Elevation of Privilege Vulnerability | Important |
| Windows Push Notifications | CVE-2026-42978 | Windows Push Notifications Elevation of Privilege Vulnerability | Important |
| Windows Push Notifications | CVE-2026-42973 | Windows Push Notification Information Disclosure Vulnerability | Important |
| Windows Push Notifications | CVE-2026-42970 | Windows Push Notification Information Disclosure Vulnerability | Important |
| Windows Push Notifications | CVE-2026-42969 | Windows Push Notification Information Disclosure Vulnerability | Important |
| Windows Push Notifications | CVE-2026-42971 | Windows Push Notification Information Disclosure Vulnerability | Important |
| Windows RDP | CVE-2026-45639 | Windows Remote Desktop Protocol (RDP) Information Disclosure Vulnerability | Important |
| Windows RDP | CVE-2026-42908 | Windows Remote Desktop Protocol (RDP) Information Disclosure Vulnerability | Important |
| Windows SDK | CVE-2026-45593 | Windows SDK Elevation of Privilege Vulnerability | Important |
| Windows Secure Boot | CVE-2026-45588 | Secure Boot Security Feature Bypass Vulnerability | Important |
| Windows Secure Boot | CVE-2026-45654 | Secure Boot Security Feature Bypass Vulnerability | Important |
| Windows Secure Boot | CVE-2026-48570 | Secure Boot Security Feature Bypass Vulnerability | Important |
| Windows Secure Boot | CVE-2026-48568 | Secure Boot Security Feature Bypass Vulnerability | Important |
| Windows Secure Boot | CVE-2026-48575 | Secure Boot Security Feature Bypass Vulnerability | Important |
| Windows Secure Boot | CVE-2026-48578 | Secure Boot Security Feature Bypass Vulnerability | Important |
| Windows Secure Boot | CVE-2026-48573 | Secure Boot Security Feature Bypass Vulnerability | Important |
| Windows Secure Boot | CVE-2026-48576 | Secure Boot Security Feature Bypass Vulnerability | Important |
| Windows Shell | CVE-2026-42907 | Windows Shell Information Disclosure Vulnerability | Important |
| Windows Shell | CVE-2026-42906 | Windows Shell Information Disclosure Vulnerability | Important |
| Windows Storage | CVE-2026-47648 | Windows Storage Elevation of Privilege Vulnerability | Important |
| Windows TCP/IP | CVE-2026-42904 | Windows TCP/IP Elevation of Privilege Vulnerability | Important |
| Windows TCP/IP | CVE-2026-42915 | Windows TCP/IP Denial of Service Vulnerability | Important |
| Windows Telephony Service | CVE-2026-42968 | Windows Telephony Server Information Disclosure Vulnerability | Important |
| Windows Telephony Service | CVE-2026-42912 | Windows Telephony Service Elevation of Privilege Vulnerability | Important |
| Windows UEFI | CVE-2026-8863 | UEFI Secure Boot Security Feature Bypass Vulnerability | Important |
| Windows UEFI | CVE-2026-45656 | UEFI Secure Boot Security Feature Bypass Vulnerability | Important |
| Windows Universal Disk Format File System Driver (UDFS) | CVE-2026-40404 | Windows Universal Disk Format File System Driver (UDFS) Elevation of Privilege Vulnerability | Important |
| Windows Universal Disk Format File System Driver (UDFS) | CVE-2026-40409 | Windows Universal Disk Format File System Driver (UDFS) Elevation of Privilege Vulnerability | Important |
| Windows Win32K – GRFX | CVE-2026-44812 | Windows Graphics Component Remote Code Execution Vulnerability | Critical |
| Windows Win32K – GRFX | CVE-2026-44803 | Windows Graphics Component Remote Code Execution Vulnerability | Critical |
| Winlogon | CVE-2026-42989 | Winlogon Elevation of Privilege Vulnerability | Important |