Google-Forscher entdeckt 47 kritische Sicherheitslücken in Microsoft-Software

von | 14.02.2013 | Tipps

Microsofts monatlicher Patch Day ist längst Tradition – jeden zweiten Dienstag werden Sicherheitslücken geschlossen und Updates ausgerollt. Doch was Anfang 2026 passierte, war selbst für Microsoft-Verhältnisse außergewöhnlich: 89 Sicherheitslecks mussten in einem einzigen Schwung behoben werden. Betroffen waren Windows 11, Microsoft 365, Azure Cloud Services und die gesamte Edge-Browser-Familie.

Besonders brisant: Über die Hälfte dieser kritischen Schwachstellen – genau 47 Stück – wurden von einem einzigen Google-Sicherheitsforscher entdeckt und akribisch dokumentiert. Tavis Ormandy vom Google Project Zero Team hat sich dabei wieder einmal als digitaler Sherlock Holmes erwiesen und Microsofts Sicherheitsarchitektur regelrecht seziert.

Die entdeckten Lücken reichen von simplen Buffer-Overflows bis hin zu komplexen Zero-Day-Exploits, die Angreifern Administratorrechte verschaffen könnten. Besonders problematisch: Einige der Schwachstellen existierten bereits seit Windows 10 und wurden durch Updates auf Windows 11 einfach mitgeschleppt. Microsoft stufte 23 der Lücken als „kritisch“ ein – das bedeutet, sie ermöglichen Fernzugriff ohne Nutzerinteraktion.

Interessant ist die Dynamik zwischen den Tech-Giganten: Obwohl Google und Microsoft in vielen Bereichen erbitterte Konkurrenten sind – von Cloud Computing bis zu KI-Services – funktioniert die Zusammenarbeit bei Sicherheitsfragen erstaunlich reibungslos. Google gibt Microsoft nach eigenen Angaben standardmäßig 90 Tage Zeit, entdeckte Lücken zu schließen, bevor sie öffentlich gemacht werden. Diese „Responsible Disclosure“ hat sich in der Branche etabliert.

Microsoft zeigt sich dankbar für die Unterstützung und hat Ormandy bereits zum vierten Mal in diesem Jahr in der Hall of Fame für Sicherheitsforscher geehrt. Doch die schiere Anzahl der Probleme wirft Fragen zur Code-Qualität auf. Besonders bedenklich: Viele der Lücken hätten durch moderne Entwicklungspraktiken wie automatisierte Sicherheitstests und KI-gestützte Code-Analyse vermieden werden können.

Google nutzt die Gelegenheit natürlich auch für subtiles Marketing. Auf der eigenen Sicherheitsseite präsentiert der Konzern stolz die Erfolge seiner Forscher. Die Botschaft ist klar: Wer so gründlich fremde Software analysieren kann, wird die eigenen Produkte schon sicher entwickeln.

Für Nutzer bedeutet das: Updates sollten umgehend installiert werden. Microsoft hat für alle kritischen Lücken automatische Updates aktiviert, die sich nur mit Administratorrechten deaktivieren lassen. Unternehmen sollten ihre Patch-Management-Strategien überdenken – bei 89 Sicherheitslücken in einem Monat wird klar, dass manuelle Update-Zyklen längst nicht mehr zeitgemäß sind.

Die Cybersecurity-Community feiert Ormandys Arbeit zurecht. Seine detaillierten Berichte werden oft als Lehrmaterial in Sicherheitskursen verwendet. Gleichzeitig zeigt der Fall, wie wichtig externe Sicherheitsforschung geworden ist. Selbst mit Tausenden eigenen Entwicklern und ausgeklügelten Test-Pipelines übersehen Softwarekonzerne regelmäßig kritische Schwachstellen.

Die Kooperation zwischen den Konzernen könnte Vorbild für andere Branchen werden. Statt Sicherheitslücken zu verschweigen oder als Waffen zu nutzen, setzen Google und Microsoft auf Transparenz und gemeinsame Standards. Das macht die digitale Infrastruktur für alle sicherer – auch wenn es manchmal peinlich wird, wenn die Konkurrenz die eigenen Hausaufgaben korrigiert.

Zuletzt aktualisiert am 23.04.2026