Der Juli-Patchday von Microsoft fällt außergewöhnlich umfangreich aus. Insgesamt wurden 570 Schwachstellen behoben, davon 57 als kritisch und 510 als wichtig eingestuft. Darunter befinden sich drei Zero-Day-Lücken, von denen zwei bereits aktiv in Angriffen ausgenutzt werden und eine öffentlich bekannt gemacht wurde. Auffällig ist zudem die enorme Zahl von 468 Schwachstellen in Microsoft-Edge/Chromium, von denen die Mehrheit (360) auf Upstream-Chromium-Fixes zurückgeht.
Die drei Zero-Days im Überblick:
- CVE-2026-50661 – Bitlocker-Security-Feature-Bypass, der bei physischem Zugriff die Geräteverschlüsselung umgehen kann.
- CVE-2026-56155 – Rechteausweitung in Active-Directory-Federation-Services (AD FS); von CISA in den KEV-Katalog aufgenommen, Patch-Frist bis 28. Juli 2026.
- CVE-2026-56164 – Rechteausweitung in Sharepoint Server ohne Authentifizierung; ebenfalls im KEV-Katalog, Patch-Frist bis 17. Juli 2026.
Zu den kritischen Schwachstellen zählen unter anderem Remote-Code-Execution-Lücken in Microsoft-Copilot, Dynamics-NAV/365 Business-Central, Office, Exchange-Server, Defender, SQL-Server, Hyper-V, Sharepoint sowie in diversen Windows-Komponenten, darunter TCP/IP, RMCAST, Print Spooler, DHCP, GDI+ und Media-Foundation.
Adobe veröffentlichte parallel 12 Sicherheitshinweise zu insgesamt 89 Schwachstellen in Produkten wie Coldfusion, Illustrator, After-Effects, Premiere-Pro, Experience-Manager und Commerce, von denen 63 als kritisch gelten. Eine erfolgreiche Ausnutzung kann unter anderem zu Rechteausweitung, zur Umgehung von Sicherheitsfunktionen und zur Codeausführung führen.
Schwachstellen werden schneller erkannt, als Unternehmen sie beheben können
Mayuresh Dani, Security Research Manager, Qualys Threat Research Unit (TRU) kommentiert: „Dieser Trend wurde vorhergesagt, und wir sehen nun die Belege dafür. Mit der Verfügbarkeit fortschrittlicherer und leistungsfähigerer KI-Modelle ist mit einem weiteren Anstieg zu rechnen, der sich anschließend wieder verlangsamen wird. Unternehmen wie Adobe sind zu zweimonatlichen Sicherheitsveröffentlichungen übergegangen, um Angreifern einen Schritt voraus zu bleiben. Auch Chrome und Apple haben ihre Patches deutlich schneller ausgeliefert als üblich. Was wir beobachten: KI-gestütztes automatisiertes Fuzzing, LLM-unterstützte Variantensuche und Static Analysis im großen Maßstab decken Schwachstellen schneller auf, als Unternehmen sie beheben können.
Organisationen sollten:
- Von einer rein CVSS-basierten Priorisierung zu einem Modell wie EPSS und CISA KEV oder dem Ansatz der „Likely Exploited Vulnerabilities“ übergehen.
- Zu einem gestuften Patching-SLA-Mechanismus wechseln. So sollte eine im KEV-Katalog gelistete CVE oder eine CVE mit einem EPSS-Wert über 0,5 innerhalb von 24 bis 36 Stunden gepatcht werden. Die nächste Stufe bildet die internetseitige Infrastruktur mit hohen Privilegien, etwa VPN-Gateways und Remote-Admin-Konsolen. Solche Einstufungen sollten je Organisation individuell vorgenommen werden. Die Zeiten, in denen sich alle allein auf den CVSS-Score verlassen haben, sind vorbei.
- In der Zwischenzeit Mechanismen zur Reduzierung und Absicherung der Angriffsfläche einführen. Dienste wie ins Internet exponierte AD FS, Onpremises-Sharepoint mit öffentlichem Zugriff sowie von überall erreichbare Remote-Management-Tools sollten zuerst adressiert werden, bevor mit dem Patchen begonnen wird.
- Die Patching-Praxis so verbessern, dass sich ein Patch leichter validieren lässt und Installationen sowie Systemstabilität an einer ausgewählten Gruppe mit automatischer Rollback-Unterstützung überwacht werden können. Erst danach sollten freigegebene Patches auf alle erforderlichen Systeme ausgerollt werden.“
#Qualys











