Der Juli-Patchday 2026 fällt außergewöhnlich umfangreich aus: Microsoft veröffentlicht 621 neue CVEs und überschreitet damit bereits zur Jahresmitte die Gesamtzahl aller Schwachstellenmeldungen aus jedem einzelnen Vorjahr seit Beginn der Erfassung.
Gleichzeitig werden zwei Sicherheitslücken aktiv ausgenutzt. Die TrendAI Zero Day Initiative spricht deshalb von einer „Bug-Apokalypse“.
Zwei aktiv ausgenutzte Microsoft-Lücken erfordern sofortige Reaktion
Besonders kritisch sind zwei Schwachstellen, die bereits für Angriffe genutzt werden. Betroffen sind Microsoft Active Directory Federation Services (AD FS) und SharePoint Server.
CVE-2026-56155 betrifft eine unzureichende Zugriffskontrolle in AD FS. Die Schwachstelle besitzt einen CVSS-Wert von 7,8 und kann von Angreifern mit lokalem Zugriff und geringen Berechtigungen ausgenutzt werden. Da AD FS in vielen Unternehmensumgebungen eine zentrale Rolle spielt und häufig als Sprungbrett für weitere Angriffe dient, sollten betroffene Systeme schnellstmöglich aktualisiert werden.
Noch ein Beispiel dafür, dass ein CVSS-Wert allein nicht über die tatsächliche Gefahr entscheidet, ist CVE-2026-56164 in Microsoft SharePoint Server. Die Schwachstelle wird aktiv ausgenutzt, obwohl sie lediglich mit 5,3 bewertet ist. Eine fehlende Authentifizierungsprüfung ermöglicht netzwerkbasierte Angriffe ohne Benutzerinteraktion. Internet-erreichbare SharePoint-Installationen sollten daher besonders dringend geprüft und gepatcht werden.
SharePoint, RDP und Hyper-V gehören zu den größten Risikobereichen
Neben den bereits angegriffenen Schwachstellen enthält das Juli-Update mehrere weitere Lücken mit hohem Schadenspotenzial.
Die schwerste Schwachstelle des Monats betrifft den Windows VMSwitch. CVE-2026-57092 erreicht einen CVSS-Wert von 9,9. Ein Use-After-Free-Fehler kann es einem Angreifer mit niedrigen Berechtigungen ermöglichen, die Grenze zwischen einer virtuellen Maschine und dem Host-System zu überwinden. Unternehmen mit Hyper-V-Umgebungen sollten die Aktualisierung daher priorisieren.
Auch SharePoint steht erneut im Fokus. Die Schwachstellen CVE-2026-50522 und CVE-2026-58644 ermöglichen Remote Code Execution mit einem CVSS-Wert von 9,8. Die Angriffe setzen auf die Deserialisierung nicht vertrauenswürdiger Daten und erfordern weder eine Authentifizierung noch eine Benutzerinteraktion. Eine der Schwachstellen wurde zudem bei Pwn2Own Berlin demonstriert.
Ebenfalls kritisch sind CVE-2026-56190 im Remote Desktop Protocol, CVE-2026-50518 im Windows DHCP Server und CVE-2026-56188 im Windows Server Network Driver. Die Schwachstellen ermöglichen unter anderem eine nicht authentifizierte Codeausführung über das Netzwerk. Besonders Systeme, die direkt aus dem Internet erreichbar sind, sollten umgehend überprüft werden.
Auch Exchange und BitLocker sind betroffen
Für Microsoft Exchange Server weist die Zero Day Initiative auf CVE-2026-55008 hin. Die Schwachstelle ermöglicht gespeichertes Cross-Site-Scripting in Outlook Web Access. Eine präparierte E-Mail kann ausreichen, damit beim Öffnen der Nachricht JavaScript im Browserkontext des Opfers ausgeführt wird.
Darüber hinaus ist die BitLocker-Schwachstelle CVE-2026-50661 öffentlich bekannt. Sie ermöglicht die Umgehung einer Sicherheitsfunktion und sollte ebenfalls zeitnah behoben werden.
Ein ungewöhnlicher Aspekt des Patchdays: Microsoft veröffentlicht außerdem Sicherheitsupdates für Produkte wie Age of Empires II und den Minecraft Bedrock Dedicated Server. Letzterer ist von einer nicht authentifizierten Remote-Code-Execution-Schwachstelle mit einem CVSS-Wert von 9,8 betroffen.
Microsoft meldet die größte Einzelveröffentlichung seiner Geschichte
Insgesamt umfasst das Juli-Update 621 neue Microsoft-CVEs. 63 davon sind als kritisch eingestuft, während der überwiegende Teil die Bewertung „wichtig“ erhält. Hinzu kommen zahlreiche Schwachstellen in Chromium und Microsoft Edge, wodurch die Zahl der in diesem Monat veröffentlichten Sicherheitslücken insgesamt auf mehr als 1.100 steigt.
Besonders bemerkenswert ist die Entwicklung über das gesamte Jahr hinweg: Der kumulierte CVE-Wert für Microsoft überschreitet bereits jetzt die Gesamtzahl jedes einzelnen Vorjahres seit Beginn der Zählung.
Adobe veröffentlicht 88 CVEs in zwölf Bulletins
Auch Adobe hat im Juli umfangreiche Sicherheitsupdates bereitgestellt. In zwölf Bulletins werden insgesamt 88 CVEs für Produkte wie ColdFusion, Commerce, Experience Manager, Illustrator, Premiere Pro und weitere Anwendungen behandelt.
Keine der Adobe-Schwachstellen wird derzeit aktiv ausgenutzt. Dennoch sollten Administratoren die Priorisierung beachten. Die höchste Dringlichkeit gilt für Adobe ColdFusion. Die dort behandelten Schwachstellen erreichen einen CVSS-Wert von bis zu 9,9. Adobe Commerce folgt mit mehreren kritischen Schwachstellen und einem maximalen CVSS-Wert von 9,6.
Der Patchdruck dürfte weiter steigen
Dustin Childs von der TrendAI Zero Day Initiative bezeichnet den Juli angesichts der außergewöhnlich hohen Zahl an Sicherheitslücken als „Bug-Apokalypse“. Für Unternehmen bedeutet das vor allem eines: Patch-Management muss stärker nach tatsächlichem Risiko priorisieren.
Besonders dringend sind Systeme, die aus dem Internet erreichbar sind, aktiv ausgenutzte Schwachstellen sowie zentrale Infrastrukturkomponenten wie AD FS, SharePoint, RDP und Hyper-V. Der nächste reguläre Microsoft-Patchday steht im August 2026 an – kurz nach Black Hat und DEF CON. Erfahrungsgemäß könnten im Umfeld dieser Sicherheitskonferenzen weitere Schwachstellen und Exploit-Details öffentlich werden.
(red/TrendAI)