10.06.2026 10:09

Microsoft Patch Tuesday Juni 2026 & "RoguePlanet"

Im Rahmen des diesmonatigen Patchdays hat Microsoft Sicherheitsupdates für rund 200 Schwachstellen veröffentlicht. Damit übertrifft dieser Patchday den bisherigen Rekord von 167 Lücken aus dem Oktober 2025 deutlich. Über 30 der behobenen Sicherheitslücken sind als "Critical" eingestuft.

Besonders im Blick behalten sollten Administrator:innen drei Probleme, die bereits vor Verfügbarkeit eines Patches öffentlich bekannt waren. Alle drei werden von Microsoft als "Important" eingestuft, eine aktive Ausnutzung liegt laut Aussage des Unternehmens jedoch nicht vor.

  • "YellowKey" - diese Lücke ermöglicht es Angreifer:innen mit physischem Zugriff den Bitlocker-Schutz zu umgehen und auf Daten verschlüsselter Laufwerke zuzugreifen.
  • CVE-2026-49160 - betrifft den HTTP/2-Stack und kann betroffene Dienste / Systeme lahmlegen
  • CVE-2026-45586 ("GreenPlasma") - eine fehlerhafte Link-Auflösung (Link Following) ermöglicht es lokal angemeldeten Angreifer:innen SYSTEM-Rechte zu erlangen. Microsoft sieht die Ausnutzungswahrscheinlichkeit als "Exploitation More Likely"

Auch abseits dieser 0-Days sind in diesem Patchday Aktualisierungen für einige schwerwiegende Sicherheitsprobleme enthalten.

Sowohl der Remote Desktop Client als auch Microsoft Office waren von RCE-Schwachstellen betroffen, und eine kritische Lücke in Hyper-V ermöglichte Angreifer:innen den Ausbruch aus dem Gast-System auf den Host. Auch einige Umgehungen von Secure-Boot werden mit den Updates behoben.

Nur wenige Stunden nach den Veröffentlichungen zum Patchday veröffentlichte ein Sicherheitsforscher einen Proof-of-Concept für eine neue, noch nicht behobene Schwachstelle in Microsoft Defender.

Dieser Exploit (mit dem Namen "RoguePlanet") nutzt eine Race-Condition und verschafft Angreifer:innen bei erfolgreicher Ausnutzung eine Eingabeaufforderung mit SYSTEM-Rechten. Der Forscher selbst beschreibt den Angriff als "hit or miss", Sicherheitsexpert:innen des Unternehmens ThreatLocker sowie das Onlineportal BleepingComputer konnten die Funktionalität des Exploits jedoch unabhängig nachstellen.

Betroffen sind alle Versionen von Windows 10 und Windows 11. Windows Server ist zwar grundsätzlich ebenfalls verwundbar, da Standardbenutzer:innen jedoch keine ISO-Images einhängen dürfen funktioniert der Exploit hier jedoch nicht.

Ein offizielles Advisory von Microsoft liegt noch nicht vor, ThreatLocker empfiehlt als Abhilfe bis zum Erscheinen eines Patches Application Allowlisting.