Microsoft hat zum Mai-Patchday Sicherheitsupdates für insgesamt nicht weniger als 137 Schwachstellen veröffentlicht. Zwar liegen laut dem Unternehmen aktuell keine Hinweise auf aktiv ausgenutzte Zero-Day-Lücken vor. Dennoch dürfte der Umfang der Updates IT-Abteilungen beschäftigen: 30 der Schwachstellen werden als kritisch eingestuft, 14 davon mit einem CVSS-Wert von mindestens 9,0.

Als besonders kritisch gilt die Schwachstelle CVE-2026-41096 (CVSS-Wert von 9,8) im Windows-DNS-Client. Die Lücke betrifft einen Heap-basierten Buffer Overflow und könnte von Angreifern genutzt werden, um über manipulierte DNS-Antworten Schadcode auf verwundbaren Systemen auszuführen, ohne dass dafür eine Authentifizierung erforderlich wäre. Da der DNS-Client auf praktisch allen Windows-Systemen aktiv sei, gelte die potenzielle Angriffsfläche als gross, so die Einschätzung von Sicherheitsexperten.

Ebenfalls mit 9,8 bewertet wurde die Schwachstelle CVE-2026-41089 im Windows-Netlogon-Dienst. Die Lücke erlaubt laut Microsoft die Ausführung von Schadcode auf Domain Controllern über speziell präparierte Netzwerkpakete. Da weder Benutzerinteraktion noch gültige Zugangsdaten notwendig sind, warnen Sicherheitsforscher vor "wormable" Angriffsszenarien, bei denen sich Schadsoftware automatisiert im Netzwerk verbreiten könnte.

Eine weitere kritische Schwachstelle betrifft lokale Installationen von Microsoft Dynamics 365. Die unter CVE-2026-42898 geführte Sicherheitslücke erreicht einen CVSS-Wert von 9,9. Laut Microsoft können authentifizierte Nutzer manipulierte Sitzungsdaten einschleusen, wodurch auf dem Server unbeabsichtigt Schadcode ausgeführt werden könnte. Unternehmen mit On-Premises-Installationen von Dynamics 365 sollten die bereitgestellten Patches zeitnah testen und ausrollen.

Besondere Aufmerksamkeit erhält zudem die Schwachstelle CVE-2026-42826 in Azure DevOps. Die Informationsleck-Lücke wurde mit dem maximalen CVSS-Wert von 10,0 bewertet und ist damit die am höchsten eingestufte Schwachstelle des aktuellen Patchdays. Microsoft veröffentlichte bislang nur wenige technische Details, aber die Sicherheitslücke sei bereits serverseitig behoben worden.

Microsoft gab zudem bekannt, dass 16 der im Mai behobenen Schwachstellen mit Hilfe eines internen KI-gestützten Systems namens "MDash" identifiziert worden seien. Das Werkzeug soll künftig ausgewählten Kunden im Rahmen einer Vorschauversion zugänglich gemacht werden. Der Konzern rechnet damit, dass die Zahl der entdeckten Schwachstellen durch den Einsatz solcher Systeme weiter zunimmt. Entsprechend dürfte auch der Aufwand für das Testen und Einspielen von Sicherheitsupdates steigen.