Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Windows & Microsoft 365 28.05.2026 · 2 min Lesezeit

Microsoft Patchday Mai 2026: 120 Lücken, 17 davon kritisch

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Laptop auf Schreibtisch – Symbolbild für Microsoft Patchday Mai 2026

Microsofts Mai-Patchday 2026 schließt insgesamt 120 Sicherheitslücken in Windows, Office und Server-Komponenten. Klassifiziert sind 17 Fixes als kritisch, davon 14 Remote-Code-Execution-Lücken, zwei Privilege-Escalations und eine Informations-Offenlegung. Zero-Days sind diesmal nicht öffentlich bekannt, das macht den Patchday aber nicht zur Routine.

Schwerpunkte des Patchdays

Auffällig sind zwei Schwerpunkte. Erstens fixt Microsoft mehrere Lücken in Office-Anwendungen – darunter Word und Excel –, die sich über das Öffnen oder bereits über die Vorschau im Explorer ausnutzen lassen. Damit bleibt das Phishing-Vehikel Office-Anhang das, was es seit Jahren ist: der zuverlässigste Initial-Access-Vektor in Mittelstandsnetze. Zweitens repariert Microsoft CVE-2026-35421, eine RCE in Windows GDI über speziell präparierte EMF-Dateien, die Paint öffnet, sowie CVE-2026-41096, eine RCE im Windows-DNS-Client durch manipulierte DNS-Antworten.

Außerdem bestätigt Microsoft das bereits bekannte Problem bei Windows Server 2016 in Verbindung mit dem Mai-Update KB5087537: Server mit exakt 15-stelligem Hostnamen verlieren nach dem Update den Domain-Controller-Lookup. Hier gibt es bislang keinen Hotfix-Termin – Workaround bleibt die Hostnamen-Anpassung oder das gezielte Zurückrollen des Patches.

Was Admins jetzt tun sollten

  1. WSUS / Intune / SCCM-Ringe planen: erst Test-Devices, dann Office-Power-User, dann Server.
  2. Office-Patches priorisieren – wegen der Vorschau-Pane-Lücken zählt jeder Tag.
  3. DNS-Server-Hosts und exponierte DNS-Clients (z.B. RAS-Endpoints) zuerst nehmen.
  4. Server-2016-Domain-Controller mit Hostnamen-Check vor dem Rollout: alles ≤14 Zeichen ist sicher, exakt 15 Zeichen ist kritisch.

Microsoft liefert in der Mai-Runde keine spektakuläre Einzel-Lücke, dafür Breite. Für IT-Dienstleister im DACH-Raum heißt das: Patchday-Planung in den nächsten zwei Wochen sauber ziehen, dann ist der Juni wieder ruhiger.

Mehr aus dem Microsoft-Umfeld: News aus der Kategorie Windows & Microsoft 365

Quelle: BleepingComputer – Microsoft May 2026 Patch Tuesday fixes 120 flaws, no zero-days