Zum Inhalt springen

Microsofts Patch Tuesday April 2026: 167 Sicherheitslücken und vier Chrome-Zero-Days

Auf den Punkt: Microsoft patch Tuesday avril 2026 mit 167 Lücken, darunter der aktiv ausgenutzte SharePoint-Zero-Day CVE-2026-32201, spiegelt ein wahrscheinlich durch erweiterte KI-Fähigkeiten getriebenes Anstiegsvolumen bei Schwachstellenentdeckungen wider.

Microsoft hat 167 Sicherheitslücken gefixt, darunter die aktiv ausgenutzte SharePoint-Schwachstelle CVE-2026-32201 und die öffentlich bekannte Windows-Defender-Lücke BlueHammer. Gleichzeitig hat Google Chromes vierte Zero-Day-Lücke des Jahres 2026 geschlossen und Adobe ein Notfall-Update für Reader gegen eine aktiv ausgenutzte Remote-Code-Execution-Flaw veröffentlicht.

Microsoft hat am Patch Tuesday im April 2026 insgesamt 167 Sicherheitslücken in Windows und verwandten Produkten behoben. Zwei davon stechen besonders hervor: CVE-2026-32201 ist eine SharePoint-Server-Schwachstelle, die bereits von Angreifern ausgenutzt wird. Sie ermöglicht Böswilligen, vertrauenswürdige Inhalte und Schnittstellen im Netzwerk zu fälschen. BlueHammer (CVE-2026-33825) ist eine Privilege-Escalation-Lücke in Windows Defender, deren Proof-of-Concept-Code der forschende Sicherheitsexperte veröffentlicht hat, nachdem er mit Microsofts Umgang der Meldung unzufrieden war.

CVE-2026-32201 erlaubt Phishing-Angriffe, unbefugte Datenmanipulation und Social-Engineering-Kampagnen innerhalb legitimer SharePoint-Umgebungen. Dies hat erhebliche Auswirkungen auf das Risikoprofil betroffener Organisationen, da die aktive Ausnutzung bereits im Feldbestand stattfindet. Will Dormann, Senior Principal Vulnerability Analyst bei Tharros, bestätigte, dass die öffentlich verfügbaren BlueHammer-Exploits nach Installation der heutigen Patches nicht mehr funktionieren.

Satnam Narang von Tenable ordnet den April-Patch-Tuesday als Microsofts zweittest größten ein. Adam Barnett, Lead Software Engineer bei Rapid7, bezeichnete die Menge als neuen Rekord in dieser Kategorie — sie deckt fast 60 Browser-Anfälligkeiten ab. Adobe hatte bereits am 11. April 2026 eine Notfall-Aktualisierung für Reader veröffentlicht, um CVE-2026-34621 zu patchen. Diese Lücke wird aktiv ausgenutzt, erste Zeichen deuten auf Ausnutzung seit mindestens November 2025 hin.

Ob die plötzliche Steigerung mit Anthropics kürzlich angekündigtem Project Glasswing zusammenhängt — einem KI-Feature zur automatischen Fehlererkennung in breiter Software-Palette — bleibt offen. Barnett weist darauf hin, dass Microsoft Edge auf der Chromium-Engine basiert, deren Entwickler regelmäßig zahlreiche Forscher für Lücken erwähnen, die Microsoft am Freitag republiziert hat. Als sichere Schlussfolgerung bleibt: Das Anstiegvolumen wird durch erweiterte KI-Kapazitäten vorangetrieben.

Google Chrome hat in 2026 bereits vier Zero-Day-Lücken geschlossen, diesen Monat nun die vierte.


Quelle: ainews-dev.lumi-systems.io · Erschienen 17. Mai 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.5.2.

Share on: