Fünfhundertsiebzig Korrekturen an einem einzigen Dienstag
Das Microsoft Security Response Center veröffentlichte sein Juli-Update am Dienstag, dem 14. Juli, und die Liste endete nicht dort, wo alle sie erwartet hatten. Microsoft schloss 570 Schwachstellen in einer einzigen Auslieferung. Der bisherige Rekord aus dem Juni, sechs Wochen zuvor, lag bei 206. Neunundfünfzig der Juli-Lücken gelten als kritisch, und 48 davon erlauben die Ausführung von Schadcode aus der Ferne. Die vollständige Aufteilung umfasst 254 Fehler zur Rechteausweitung, 145 Fehler zur Codeausführung aus der Ferne, 102 Fehler zur Preisgabe von Informationen, 35 Fehler zur Dienstblockade, 17 Umgehungen von Schutzfunktionen und 16 Spoofing-Lücken. Die Chromium-Lücken, die Edge erbt, sind darin nicht enthalten.
Warum das zählt. Ein monatliches Patch-Fenster ist eine feste Menge an Arbeitsstunden. Die Zahl der Positionen, die hindurchgeschoben werden, hat sich fast verdreifacht, und der Hersteller hat schriftlich erklärt, dass dies kein Ausreißer ist. Jeder Prozess, der davon ausgeht, dass eine Administratorin die Liste lesen, jeden Eintrag abwägen und entscheiden kann, ist am Dienstag zerbrochen.
Zwei werden bereits gegen ADFS und SharePoint eingesetzt
Drei der 570 sind Zero-Days, und zwei davon werden aktiv angegriffen. CVE-2026-56155 ist eine Lücke zur Rechteausweitung in den Active Directory Federation Services, bei der eine nicht fein genug abgestufte Zugriffskontrolle es einem berechtigten Angreifer erlaubt, seine Rechte lokal zu erhöhen. CVE-2026-56164 ist eine Lücke zur Rechteausweitung im SharePoint Server, bei der eine fehlende Authentifizierungsprüfung an einer kritischen Funktion es einem nicht angemeldeten Angreifer erlaubt, Rechte über das Netz hinweg zu erhöhen. Die dritte, CVE-2026-50661, ist eine öffentlich bekannte Umgehung der BitLocker-Schutzfunktion.
Keine der beiden ausgenutzten Lücken ist exotisch, und genau darin liegt der Punkt. Die Active Directory Federation Services sind die Maschine, die Ihre Föderationstoken ausstellt. In SharePoint liegen Ihre Verträge, Ihre Vorstandsunterlagen und Ihre Kundenlisten. Wer auf einem der beiden Systeme seine Rechte erhöht, braucht keinen zweiten Exploit, um an den Rest zu gelangen. Wenn Sie eines davon selbst betreiben, sind es die einzigen zwei Einträge der Juli-Liste, die heute eine Entscheidung verlangen. Das BSI weist bei Lücken dieser Art regelmäßig gesondert auf den Handlungsbedarf hin.
Die BitLocker-Umgehung greift eine Rechtsposition an, kein Notebook
CVE-2026-50661 erlaubt einem Angreifer mit physischem Zugriff, an Daten auf einem verschlüsselten Datenträger zu gelangen. Als technisches Problem gelesen, ist es ein Gerätefehler, der das Gerät in der Hand voraussetzt. Als europäisches Compliance-Problem gelesen, ist es etwas anderes. Artikel 34 der DSGVO besagt, dass ein Verantwortlicher die Betroffenen nicht benachrichtigen muss, wenn die offengelegten Daten für Unbefugte unzugänglich gemacht wurden, und die vollständige Festplattenverschlüsselung ist der Grund, warum die meisten verlorenen oder gestohlenen Notebooks nie zu einem meldepflichtigen Vorfall werden.
Die Folge. Diese Argumentation steht und fällt damit, dass die Verschlüsselung hält. Eine veröffentlichte Umgehung macht sie angreifbar, und das Argument trägt jetzt eine CVE-Nummer, die jede Aufsichtsbehörde nachschlagen kann. Die 72-Stunden-Frist aus Artikel 33 pausiert nicht, während Sie Ihre Position klären. Wer BitLocker als seine Antwort auf ein verlorenes Gerät führt, sollte diesen Patch im Bestand haben, bevor das nächste Notebook verschwindet, und das Datum belegen können.
Microsoft nennt die Flut den neuen Normalzustand
Der Sprung ist kein schlechter Monat im Quellcode. Am 9. Juli, fünf Tage vor der Auslieferung, veröffentlichte Microsoft im Windows Experience Blog einen Beitrag, wonach es ein KI-System namens MDASH, seinen Scan-Verbund aus mehreren Modellen, über die Windows-Codebasis laufen lässt. MDASH prüft kritische Binärdateien und validiert die Funde mit mehreren Modellen. Die erste öffentliche Ausbeute im Mai umfasste 16 zuvor unbekannte CVEs, vier davon kritische Lücken zur Codeausführung aus der Ferne in Kernkomponenten wie dem TCP/IP-Kernel-Stack, dem IKEv2-Dienst, Netlogon und der DNS-API-Bibliothek. Microsoft sagte seinen Kunden unmissverständlich, sie sollten mit einem höheren Volumen an Sicherheitsupdates in jeder Auslieferung rechnen.
Das bleibt nicht auf einen Hersteller beschränkt. Chrome 150 erschien mit 433 Sicherheitskorrekturen. Adobe ist auf zwei Auslieferungen pro Monat umgestiegen, Mozilla auf einen Zwei-Wochen-Takt. Die Branche hat das Auffinden ihrer eigenen Fehler maschinell gemacht und hält beim Ausliefern mit. Ihre Fähigkeit, all das aufzunehmen, hat sich kein Stück bewegt.
Ändern Sie die Kennzahl, bevor Sie den Zeitplan ändern
Der erste Reflex ist, mehr Stunden fürs Patchen zu fordern. Das ist der falsche Hebel, denn die Eingangsmenge ist jetzt unbegrenzt. Die tragfähige Antwort besteht darin, die CVE-Liste nicht länger als abzuarbeitende Warteschlange zu behandeln, sondern als Signal, das gefiltert werden muss. Zwei Filter leisten fast die gesamte Arbeit: Wird die Lücke ausgenutzt, und ist das betroffene System von außen erreichbar. Drei der 570 Lücken bestanden diesen Monat den ersten Test. Das ist eine Liste, die ein Mensch tatsächlich lesen kann.
Das Fazit. Die Kennzahl für den Vorstand muss mitziehen. Ein Prozentsatz abgedeckter Patches misst inzwischen den Scanner von Microsoft und nicht Ihre Abwehr, und er wird jeden Monat schlechter aussehen und dabei weniger bedeuten. Berichten Sie stattdessen, wie lange Sie für die ausgenutzten und die aus dem Internet erreichbaren Lücken gebraucht haben. Diese Zahl gehört Ihnen, sie ist klein genug, um sie zu verteidigen, und sie ist die einzige, für die sich ein Angreifer interessiert.
Weiterlesen: Rotieren Sie jedes Secret, das Grok Build je gesehen hat | Microsoft zieht die Quantum-Frist auf 2029 vor



