Patch Tuesday Juni 2026: Der größte Update-Zyklus aller Zeiten

Patch Tuesday Juni 2026: Der größte Update-Zyklus aller Zeiten

Rund 200 Schwachstellen, drei BitLocker-Bypässe und öffentlich verfügbarer Exploit-Code – warum dieser Patchday Pflichttermin ist

Der Juni-Patchday 2026 hat einen neuen Rekord aufgestellt. Microsoft hat in seiner offiziellen Security Update Summary vom 9. Juni 2026 insgesamt 198 Schwachstellen geschlossen, davon 32 als kritisch eingestuft. Mehrere Sicherheitsmagazine zählen sogar 204 Lücken (38 mit höchster Gefahrenstufe), je nachdem, welche Komponenten und Cloud-Dienste mitgezählt werden. Damit übertrifft dieser Monat alle bisherigen Patch-Tuesday-Zyklen – ein klares Signal, den Rollout in Ihrer Umgebung nicht aufzuschieben.

Die Zahlen im Überblick: 198 Schwachstellen laut Microsoft-Summary · 32 als kritisch klassifiziert · mindestens drei Lücken mit öffentlich verfügbarem Exploit-Code vor dem Patchday · zusätzlich rund 360 in die Edge-Updates integrierte Chromium-Schwachstellen.

Die kritischen Brennpunkte

1. Gleich drei BitLocker-Bypässe

Das auffälligste Thema dieses Monats betrifft die Festplattenverschlüsselung. Mehrere getrennte Schwachstellen erlauben es, den BitLocker-Schutz zu umgehen. Die prominenteste ist CVE-2026-45585 – besser bekannt unter dem Namen „YellowKey” – mit einem CVSS-Wert von 6.8. Die ebenfalls als BitLocker-Bypass eingestufte CVE-2026-50507 („Bitskrieg”) wurde vor Verfügbarkeit eines Patches öffentlich gemacht und von Microsoft als „Exploitation More Likely” bewertet. Gemeinsam ist beiden: Mit physischem Zugriff auf das Gerät lassen sich verschlüsselte Daten auslesen. CVE-2026-50507 hat es bereits in den KEV-Katalog der US-Behörde CISA geschafft.

Achtung Außendienst & mobile Geräte: Notebooks im TPM-only-Modus (der Standard auf vielen Geräten) sind besonders exponiert. Wer Geräte verliert oder gestohlen bekommt, kann sich nicht mehr blind auf BitLocker verlassen. Aktivieren Sie TPM+PIN. Eine ausführliche Analyse zu YellowKey folgt in einem separaten Beitrag.

2. HTTP.sys – die Webserver-Engine im Visier

In der Windows-Webserver-Engine http.sys steckt eine Schwachstelle, die durch eine überdimensionierte Anfrage ausgelöst werden kann. Microsoft führt dazu mit CVE-2026-49160 eine Denial-of-Service-Lücke (CVSS 7.5). Als Zwischenlösung empfiehlt Microsoft, den Wert MaxRequestBytes zu begrenzen, bis der Patch eingespielt ist. Da http.sys unter anderem IIS, WinRM und WSUS bedient, betrifft das viele Server-Rollen direkt.

3. Active Directory Domain Services

Ein stapelbasierter Pufferüberlauf in den Active Directory Domain Services erfordert für einen erfolgreichen Angriff eine gültige Authentifizierung. Microsoft schätzt die Wahrscheinlichkeit eines funktionierenden Exploits als gering ein – trotzdem gehört der Domain Controller auf jedem Patchday in die erste Welle, weil hier die gesamte Identitätsinfrastruktur hängt. In Windows Server 2025 adressiert das kumulative Update KB5094125 unter anderem AD-DS- und Remote-Desktop-Services-Komponenten; für Server 2022 ist es KB5094128.

4. Edge / Chromium

Zusätzlich zu den Windows-Lücken wurden rund 360 Schwachstellen aus der Chromium-Engine in den Update-Zyklus für den Edge-Browser integriert – ein Vielfaches früherer Monate. Browser-Updates laufen separat, sollten aber nicht vergessen werden.

Priorisierung: Was zuerst patchen?

Bei rund 200 Lücken hilft eine klare Reihenfolge. Meine Empfehlung für einen geordneten Rollout:

Welle Systeme Begründung
1 – Sofort Domain Controller, internetexponierte Server (IIS/RDP-Gateways), Geräte mit öffentlichem Zugriff Öffentlicher Exploit-Code, kritische AD-/http.sys-Komponenten
2 – Zeitnah Mobile Geräte / Notebooks, Außendienst, BitLocker-geschützte Endgeräte BitLocker-Bypässe bei physischem Zugriff
3 – Geplant Interne Member-Server, Clients, Edge-Browser Nach Testfreigabe, regulärer Wartungszyklus

Praxis-Tipp: Verlassen Sie sich nicht auf das WSUS-Häkchen allein. Verifizieren Sie nach dem Rollout über den OS-Build, ob das Update tatsächlich aktiv ist – bei Server 2025 etwa Build 26100.32995 für KB5094125, bei Server 2022 Build 20348.5256 für KB5094128. Eine zentrale Übersicht des Patch-Status über alle Systeme spart bei rund 400 Endpunkten enorm Zeit.

Fazit

Der Juni 2026 ist kein Patchday zum Aussitzen. Die Kombination aus Rekordzahl, öffentlich verfügbarem Exploit-Code und gleich drei BitLocker-Bypässen macht einen strukturierten, priorisierten Rollout zur Pflicht. Wer den Patch-Status über die gesamte Flotte im Blick behält und nach Build-Nummer verifiziert, ist klar im Vorteil.

Patch-Compliance über die gesamte Flotte im Griff?

Der ISW Windows Patch Compliance Analyzer liefert eine zentrale Übersicht über fehlende Updates, KB-Stände und Build-Nummern – ideal, um Wellen wie diese kontrolliert auszurollen und gegenüber Audits (NIS2, ISO 27001) nachzuweisen. Mehr dazu auf isw-adtools.de.

© 2026 IT-Service Walter · der-windows-papst.de · Alle Angaben ohne Gewähr. Quellen: Microsoft Security Update Summary, Tenable, Borns IT-Blog.