Kritische Infrastruktur unter Druck: Patch Tuesday Juni 2026

Der Patch Tuesday im Juni 2026 rückt besonders kritische Schwachstellen in sicherheitsrelevanten Kernkomponenten von Unternehmensinfrastrukturen in den Fokus. Im Zentrum stehen eine Remote-Code-Execution-Lücke in Veeam Backup & Replication, eine schwerwiegende Schwachstelle in Check-Point-Remote-Access-VPNs, die unter bestimmten Umständen Verbindungen ohne gültige Authentifizierung erlaubt, sowie kritische Sicherheitslücken in SAP NetWeaver, die Authentifizierungs- und Web-Komponenten betreffen. Ergänzt werden diese Risiken durch drei öffentlich bekannte Zero-Day-Schwachstellen in Microsoft-Produkten.

Microsoft: Drei öffentlich bekannte Zero-Days

Microsoft schließt im Juni mehrere kritische Sicherheitslücken in Windows 10, Windows 11 sowie den gängigen Server-Versionen. Besonders relevant sind dabei drei öffentlich bekannte Zero-Day-Schwachstellen:

• CVE-2026-45586
• CVE-2026-50507
• CVE-2026-49160

Die Lücken waren bereits vor Veröffentlichung der Updates bekannt und stellen damit ein erhöhtes Risiko für ungepatchte Systeme dar. Entsprechende Patches stehen für Client- und Server-Versionen bereit.

SAP: Kritische Schwachstellen in NetWeaver-Komponenten

Auch SAP hat im Juni mehrere kritische Sicherheitsupdates veröffentlicht. Besonders hervorzuheben sind Schwachstellen in zentralen NetWeaver-Komponenten:

• XML Signature Wrapping in der SAML-Authentifizierung Betroffen sind SAP NetWeaver AS ABAP sowie die ABAP Platform. Die Schwachstelle kann die Vertrauenswürdigkeit von Authentifizierungsprozessen erheblich beeinträchtigen.
• Directory Traversal im SAP NetWeaver Application Server Java (Web Container) Diese Schwachstelle kann den unautorisierten Zugriff auf interne Ressourcen ermöglichen und sollte insbesondere in internetnahen Szenarien priorisiert geschlossen werden.

Weitere Details zu diesen und zusätzlichen Schwachstellen stellt SAP in den aktuellen Security Notes bereit.

Weitere Hersteller: Backup-, VPN- und Kommunikationssysteme besonders betroffen

Neben Microsoft und SAP haben zahlreiche weitere Hersteller sicherheitsrelevante Updates veröffentlicht:

• Adobe: Sicherheitsupdates für verschiedene Produkte zur Schließung mehrerer Schwachstellen.
• Cisco: Updates für mehrere Produkte, darunter eine Schwachstelle im Unified Communications Manager mit verfügbarem PoC-Exploit sowie ein SD-WAN-Zero-Day, der aktiv bei Angriffen ausgenutzt wurde.
• Fortinet: Sicherheitsupdates für mehrere Produkte, unter anderem ein Fix für eine OS Command Injection in der FortiSandbox.
• Check Point: Behebung einer Schwachstelle in Remote-Access-VPNs und beim mobilen Zugriff, die unter bestimmten Bedingungen eine VPN-Verbindung ohne gültiges Benutzerpasswort zulässt.
• Ivanti: Sicherheitsupdates für verschiedene Produkte.
• Veeam: Kritisches Update für Backup & Replication, bei dem eine Schwachstelle zur Remote Code Execution (RCE) auf domänengebundenen Backup-Servern ausgenutzt werden kann – ein besonders hohes Risiko für Backup- und Recovery-Infrastrukturen.

Was ist der Patch Tuesday?

Der Begriff bezeichnet den zweiten Dienstag im Monat, an dem Microsoft wichtige Patches für seine Systeme veröffentlicht. Durch den festen Rhythmus wird die Arbeit von Systemadministratoren und Nutzern erleichtert, da somit ein klarer Planungszeitpunkt zum Einspielen von Updates gegeben ist.