Der größte Patch Tuesday in Microsofts Geschichte: 200 Schwachstellen, 33 kritisch, 3 Zero-Days – und danach eine ungepatchte Lücke.

Der größte Patch Tuesday in Microsofts Geschichte erschien gestern: 200 Schwachstellen. 33 kritisch. 3 offengelegte Zero-Days. Und dann – Stunden nach dem Patch-Release – veröffentlichte ein Forscher eine ungepatchte Lücke, die auf vollständig aktualisiertem Windows 10 und 11 funktioniert.

Sie haben alles Verfügbare gepatcht. Sie haben trotzdem eine Lücke.

CVE-2026-50507 – BitLocker-Bypass (YellowKey): Ein physischer Angreifer platziert präparierte Dateien auf einem USB-Laufwerk oder einer EFI-Partition, bootet in die Windows Recovery Environment, hält STRG gedrückt und erhält uneingeschränkten Zugriff auf mit TPM-only-BitLocker verschlüsselte Laufwerke. Kein Passwort, kein Key, kein BitLocker. Betroffen: Windows 11 und Server 2022/2025 mit TPM-only-Konfigurationen. Microsoft bewertet es als „Exploitation More Likely“. Wenn Ihre NIS2- oder ISO-27001-Dokumentation auf BitLocker-verschlüsselte Laptops als Schutz für mobile Endgeräte verweist, müssen Sie das überprüfen.

Priorisieren Sie den Juni-Patch-Rollout. Aktivieren Sie BitLocker mit PIN- oder USB-Key-Schutz statt TPM-only. Überwachen Sie öffentliche Exploit-Releases für die verbleibenden ungepatchten Lücken. Planen Sie einen Notfall-Patch-Zyklus für kritische Systeme ein.