Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Jetzt Updates einspielen: Windows-Nutzer werden attackiert

Mindestens eine zum Januar- Patchday geschlossene Windows - Lücke wird schon aktiv ausgenutzt. Nutzer sollten ihre Systeme zügig aktualisieren.
/ Marc Stöckel
Kommentare News folgen (öffnet im neuen Fenster)
Microsoft hat zum Januar-Patchday über 100 Sicherheitslücken geschlossen. (Bild: Riccardo Milani / Hans Lucas / AFP via Getty Images)
Microsoft hat zum Januar-Patchday über 100 Sicherheitslücken geschlossen. Bild: Riccardo Milani / Hans Lucas / AFP via Getty Images

Microsoft hat zum ersten Patchday des Jahres 2026 wieder allerhand Sicherheitslücken in seinem Betriebssystem Windows und anderen Softwareprodukten geschlossen. Eine dieser Lücken wird sogar bereits aktiv ausgenutzt. Doch es gibt noch weitere gefährliche Schwachstellen, die es sich zu patchen lohnt. Anwender sollten daher zeitnah die am Abend des 13. Januar bereitgestellten Updates einspielen.

Die aktiv ausgenutzte Lücke ist als CVE-2026-20805(öffnet im neuen Fenster) registriert und erreicht mit einem CVSS-Wert von 5,5 einen mittelhohen Schweregrad. Es handelt sich laut Microsoft um eine Information-Disclosure-Schwachstelle im Desktop Window Manager von Windows, anhand derer Angreifer an "eine Abschnittsadresse aus einem Remote-ALPC-Port" gelangen können.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Weitere Details zu den beobachteten Angriffen sowie deren Umfang nennt Microsoft nicht. Der recht milde Schweregrad lässt jedoch annehmen, dass CVE-2026-20805 Teil einer Angriffskette ist, an der noch andere Sicherheitslücken beteiligt sind. Auch die US-Cybersicherheitsbehörde Cisa gab eine Warnung vor CVE-2026-20805 heraus(öffnet im neuen Fenster) und sieht darin ein "erhebliches Risiko" für Unternehmen.

Weitere Lücken in Windows und Office

Erfreulich am Januar-Patchday ist, dass keine einzige der gepatchten Sicherheitslücken einen CVSS-Wert von 9,0 oder mehr erreicht. Dennoch stuft Microsoft einige Schwachstellen nach eigenem Maßstab als kritisch ein, darunter zwei Rechteausweitungslücken in der VBS-Enklave(öffnet im neuen Fenster) und in der Windows-Grafikkomponente(öffnet im neuen Fenster) sowie ein Use-after-free-Bug in LSASS(öffnet im neuen Fenster) , mit dem sich Schadcode einschleusen lässt.

Hinzu kommen fünf als kritisch eingestufte Lücken in Microsoft Office ( CVE-2026-20955(öffnet im neuen Fenster) , CVE-2026-20957(öffnet im neuen Fenster) , CVE-2026-20952(öffnet im neuen Fenster) , CVE-2026-20953(öffnet im neuen Fenster) und CVE-2026-20944(öffnet im neuen Fenster) ), die es Angreifern ermöglichen, aus der Ferne Schadcode zur Ausführung zu bringen. Teilweise wird sogar das Vorschaupanel als Angriffsvektor genannt, so dass für eine erfolgreiche Ausnutzung nicht einmal eine Nutzerinteraktion erforderlich ist.

Wer die jüngsten Sicherheitsupdates für Windows 10, Windows 11 sowie alle noch unterstützten Windows-Server- und Office-Versionen einspielt, ist vor all diesen Lücken geschützt. Insgesamt schloss Microsoft zum Januar-Patchday 115 Sicherheitslücken(öffnet im neuen Fenster) , wobei drei Patches aus Drittanbieterprojekten wie Chromium übernommen wurden. Der Vormonat Dezember fiel dagegen mit 70 gepatchten Lücken vergleichsweise milde aus.

Zur Startseite Kommentare

Relevante Themen

SoftwareBetriebssystemeSecuritySicherheitslückeUpdates & PatchesWindows 11PatchdayOfficeWindows 10