Microsoft schließt am Patchday zwei Zero-Day-Schwachstellen sowie insgesamt 83 weitere Sicherheitslücken

Microsoft veröffentlichte im März 2026 Updates für 83 neue Schwachstellen. Bei zwei dieser Lücken handelt es sich um Zero-Day-Lücken. Microsoft stuft acht davon als kritische Bedrohung ein.

Zudem wurden zwei Schwachstellen entdeckt: eine im SQL-Server, die eine Ausweitung der Rechte ermöglichen kann (CVE-2026-21262, CVSS 8.8, Risiko „hoch“), sowie eine Denial-of-Service-Lücke in .Net (CVE-2026-26127, CVSS 7.5, Risiko „hoch“). Diese Lücken wurden jedoch noch nicht ausgenutzt.

Zwei weitere Sicherheitslücken in Microsoft Office ermöglichen das Einschleusen präparierter Dokumente. Bereits die Anzeige im Vorschaufenster genügt (CVE-2026-26110, CVE-2026-26113, CVSS 8.4, Risiko: „hoch”). Bei der Zero-Click-Lücke können Angreifer in Excel die Sandbox des Copilot-Agent-Modus umgehen und dabei geheime Informationen ins Netz leiten (CVE-2026-26144, CVSS 7.5, Risiko „hoch”).

Angreifer können den Windows-Druckerspooler mit Netzwerkpaketen manipulieren und ihn dann mit eingeschmuggelten Schadcodes steuern. Dafür ist jedoch zumindest eine niedrige Berechtigung auf dem Zielsystem erforderlich (CVE-2026-23669, CVSS 8.8, Risiko „hoch“).