11. Februar 2026
Die 3 Software-Hersteller SAP, Adobe und Microsoft veröffentlichen massenhaft Patches für den Februar 2026. Einige Lücken gelten als hochkritisch. Jetzt patchen!
SAP-Patches
SAP hat am Dienstag die Veröffentlichung von 27 neuen und aktualisierten Sicherheitshinweisen bekannt gegeben, darunter zwei, die kritische Sicherheitslücken betreffen.
Der erste kritische Sicherheitshinweis, der am SAP-Sicherheitspatch-Tag im Februar 2026 veröffentlicht wurde, betrifft CVE-2026-0488 (CVSS-Score von 9,9), einen Code-Injection-Fehler in CRM und S/4HANA.
Der Fehler betrifft die Scripting-Editor-Komponente der Anwendungen und kann von authentifizierten Angreifern ausgenutzt werden, um beliebige SQL-Anweisungen auszuführen.
„Ein erfolgreicher Angriff kann zu einer vollständigen Kompromittierung der Datenbank führen, was erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung hat“, erklärt das Unternehmen für Unternehmensanwendungssicherheit Onapsis.
Die zweite kritische Sicherheitsmitteilung, die SAP heute veröffentlicht hat, behebt CVE-2026-0509 (CVSS-Score von 9,6), eine fehlende Autorisierungsprüfung in NetWeaver Application Server ABAP und ABAP Platform.
„Unter bestimmten Umständen kann ein authentifizierter Benutzer mit geringen Berechtigungen Hintergrund-Remote-Funktionsaufrufe ohne die erforderliche S_RFC-Autorisierung durchführen“, erklärt Onapsis.
In diesem Monat hat SAP sieben neue Sicherheitshinweise veröffentlicht, die schwerwiegende Sicherheitslücken in NetWeaver, Supply Chain Management, Solution Tools Plug-In (ST-PI), BusinessObjects und Commerce Cloud beheben.
Dazu gehört ein Problem mit XML-Signaturen in NetWeaver, das es Angreifern ermöglichen könnte, signierte XML-Dokumente zu versenden, die nach ihrer Annahme sensible Benutzerinformationen offenlegen und möglicherweise zu Störungen der Systemnutzung führen könnten.
Zu den weiteren schwerwiegenden Sicherheitslücken, die diesen Monat behoben wurden, gehören eine fehlende Autorisierungsprüfung, eine Race Condition, eine offene Weiterleitung und drei Denial-of-Service-Probleme (DoS).
Die anderen Sicherheitshinweise beheben mittelschwere und geringfügige Schwachstellen in NetWeaver, BusinessObjects, Document Management System, Business Server Pages Application, Commerce Cloud, Business One, Business Workflow, ABAP-basierten SAP-Systemen, Fiori App, Support Tools Plug-In, S/4HANA und Strategic Enterprise Management.
SAP macht keine Angaben dazu, ob diese Sicherheitslücken bereits ausgenutzt wurden, empfiehlt den Benutzern jedoch, ihre Installationen so schnell wie möglich zu aktualisieren.
Quelle: Security Week
Adobe-Patches
Die Patch Tuesday-Updates von Adobe vom Februar 2026 beheben insgesamt 44 Sicherheitslücken, die von externen Sicherheitsforschern in den Produkten des Unternehmens entdeckt wurden.
Der Software-Riese hat neun neue Sicherheitshinweise veröffentlicht, in denen Patches für Audition, After Effects, InDesign Desktop, Substance 3D Designer, Substance 3D Stager, Substance 3D Modeler, Bridge, Lightroom Classic und das DNG SDK angekündigt werden.
Das Unternehmen hat über zwei Dutzend Sicherheitslücken, die für die Ausführung von beliebigem Code ausgenutzt werden können, als kritisch eingestuft, aber alle werden aufgrund ihrer CVSS-Werte als hoch eingestuft.
Diese Art von Codeausführungsfehlern wurde von Adobe in Audition, After Effects, InDesign, Bridge, Lightroom Classic, DNG SDK und zwei der Substance 3D-Produkte behoben.
Die verbleibenden Schwachstellen wurden als wichtig (mittlere Schweregradbewertung basierend auf ihren CVSS-Werten) eingestuft und betreffen Speicherfreigabe- und DoS-Probleme.
Das Unternehmen gibt an, dass ihm keine Ausnutzung dieser Schwachstellen in der Praxis bekannt ist, und da es allen neuen Sicherheitshinweisen die Prioritätsstufe 3 zugewiesen hat, geht es nicht davon aus, dass sie von Angreifern ausgenutzt werden.
Forschern, die unter den Online-Pseudonymen „Yjdfy“ und „Voidexploit“ auftreten, wird die Meldung eines Grossteils der Schwachstellen zugeschrieben, die mit den neuesten Updates behoben wurden.
Die Patch Tuesday-Updates von Microsoft für Februar 2026 beheben 60 Schwachstellen, darunter sechs aktiv ausgenutzte Zero-Day-Schwachstellen.
Quelle: SecurityWeek
Microsoft-Patches
Die Patch Tuesday-Updates von Microsoft vom Februar 2026 beheben rund 60 Schwachstellen, die in den Produkten des Unternehmens gefunden wurden, darunter sechs aktiv ausgenutzte Zero-Day-Schwachstellen.
Die Zero-Day-Schwachstellen sind:
- CVE-2026-21510: Eine Umgehung der Sicherheitsabfragen von Windows SmartScreen und Windows Shell, die ausgenutzt werden kann, indem der betroffene Benutzer dazu gebracht wird, einen bösartigen Link oder eine bösartige Verknüpfungsdatei zu öffnen.
- CVE-2026-21514: Eine Schwachstelle, die es einem Angreifer ermöglicht, OLE-Abwehrmassnahmen in Microsoft 365 und Office zu umgehen, indem er das Opfer dazu verleitet, eine bösartige Office-Datei zu öffnen.
- CVE-2026-21513: Ein Problem in Internet Explorer, das es einem Angreifer ermöglicht, Sicherheitskontrollen zu umgehen und möglicherweise Code auszuführen, indem er das Opfer dazu verleitet, eine bösartige HTML- oder LNK-Datei zu öffnen.
- CVE-2026-21519: Eine Schwachstelle im Windows Desktop Window Manager, die von einem lokalen Angreifer zur Rechteausweitung ausgenutzt werden kann.
- CVE-2026-21533: Eine Sicherheitslücke in Windows Remote Desktop Services, die es einem Angreifer ermöglicht, seine Berechtigungen auf Systemebene zu erweitern.
- CVE-2026-21525: Ein Fehler im Windows Remote Access Connection Manager, der für lokale DoS-Angriffe ausgenutzt werden kann.
Es scheint keine öffentlichen Informationen über Angriffe zu geben, die diese Zero-Day-Schwachstellen ausnutzen. Es ist jedoch anzumerken, dass Microsoft für die Entdeckung von CVE-2026-21510 und CVE-2026-21514 der Google Threat Intelligence Group (GTIG), seinen eigenen Sicherheitsteams und einem anonymen Forscher die Anerkennung zuteilwerden liess. CVE-2026-21513 wurde von Microsoft und GTIG entdeckt.
Dies deutet darauf hin, dass einige dieser Schwachstellen möglicherweise von denselben Angreifern oder im Rahmen derselben Angriffe ausgenutzt wurden. Google hat Angriffe von kommerziellen Spyware-Anbietern, staatlich geförderten APTs und gewinnorientierten Cyberkriminellen verfolgt, aber hinter Kampagnen mit solchen Zero-Day-Schwachstellen stehen oft Hacker im Auftrag von Nationalstaaten.
CVE-2026-21510, CVE-2026-21514 und CVE-2026-21513 sind in den Sicherheitshinweisen von Microsoft alle als „öffentlich bekannt gegeben” gekennzeichnet.
Microsoft eigene Forscher haben CVE-2026-21519 entdeckt. Der Technologieriese hat die Cybersicherheitsfirma CrowdStrike für die Entdeckung von CVE-2026-21533 und Acros Security für CVE-2026-21525 gewürdigt.
Neben Windows und Office hat Microsoft auch Schwachstellen in Azure, Windows Defender, Exchange Server, .NET, GitHub Copilot, Edge und Power BI gepatcht.
Quelle: Security Week
