Der Februar-Patchday behebt zahlreiche Sicherheitslücken in Windows, Office und weiteren Produkten von
Microsoft. Eine Analyse der Zero Day Initiative (ZDI) zählt 58 neue CVEs und kommt inklusive Updates von Drittanbietern und Chromium insgesamt auf
62 Einträge, davon fünf kritisch, zwei mittel und der Rest wichtig.
Laut der ZDI ist die Zahl der aktiv ausgenutzten Schwachstellen diesmal ungewöhnlich hoch. Microsoft führt demnach sechs Lücken als bereits ausgenutzt auf, drei davon seien öffentlich bekannt. Hervorgehoben werden unter anderem eine Umgehung von Schutzabfragen in der Windows-Shell, die nach einem Klick auf einen Link oder eine Verknüpfung zur Ausführung von Code führen kann (
CVE-2026-21510), sowie eine Word-Lücke, die Sicherheitsfunktionen rund um COM und OLE – die das nahtlose Einbetten und Verknüpfen externe Inhalte ermöglichen – beim Öffnen eines Dokuments umgehen kann (
CVE-2026-21514).
Ebenfalls im Fokus stehe erneut eine Rechteausweitung im Desktop-Window-Manager, mit der Angreifer Code mit Systemrechten ausführen können (
CVE-2026-21519). Genannt werden ausserdem eine lokale Rechteausweitung in den Windows Remote Desktop Services (
CVE-2026-21533), eine Umgehung von Schutzmechanismen via Internet Explorer, obwohl der Browser eigentlich stillgelegt sein sollte (
CVE-2026-21513), sowie eine Denial-of-Service-Lücke im Windows-Remotezugriffs-Verbindungsmanager, die laut Microsoft bereits ausgenutzt wird (
CVE-2026-21525).
Bei den kritischen Updates verweist die Analyse auf mehrere Azure-Komponenten, darunter Fehler in ACI Confidential Containers, die das Offenlegen von Sicherheits-Token und Schlüsseln ermöglichen können. Zudem nennt die Auswertung Patches für
Github Copilot, darunter Command-Injection-Fehler und eine Toctou-Race-Condition, die zur Codeausführung führen könnten, sowie auffällige Spoofing-Probleme etwa in Outlook, bei denen laut Bericht auch der Vorschaubereich als Einfallstor eine Rolle spielen kann.
(dow)
