De mei 2026 Patch Tuesday is de eerste update in bijna twee jaar zonder actief misbruikte of openbaar gemaakte zero-days. De laatste keer was juni 2024.
Microsoft pakte 120 kwetsbaarheden aan, waarvan 17 als “Kritiek” zijn geclassificeerd. Daarvan zijn 14 van het type remote code execution (RCE), 2 betreffen privilege-escalatie en 1 is een informatielekfout.
Wat vraagt prioriteit?
CVE-2026-42898 in Microsoft Dynamics 365 heeft een CVSS-score van 9.9, waarbij geen gebruikersinteractie vereist is voor misbruik. CVE-2026-41096 in de Windows DNS Client scoort een 9.8 en kan zonder authenticatie of gebruikersinteractie op afstand worden misbruikt. Hetzelfde geldt voor CVE-2026-41089 in Windows Netlogon, eveneens met een score van 9.8.
Meerdere kwetsbaarheden in Office, Word en Excel kunnen worden getriggerd via de preview-pane in Outlook, zonder dat een bijlage hoeft te worden geopend. Organisaties die regelmatig externe e-mailbijlagen verwerken, worden sterk aangeraden de Office-updates met voorrang uit te rollen.
Overige aandachtspunten
Aanvallers reverse-engineeren Patch Tuesday-fixes doorgaans snel na publicatie om exploits te ontwikkelen voor nog ongepatchte systemen, een fenomeen dat in de industrie bekend staat als “Exploit Wednesday”. Ook de Secure Boot-certificaatdeadline van 26 juni 2026 nadert: originele Microsoft-certificaten uit 2011 verlopen op die datum, waarna apparaten zonder de vervangende 2023-certificaten hun Secure Boot-beveiliging verliezen.
Een volledig overzicht te lezen op https://www.bleepingcomputer.com/news/microsoft/microsoft-may-2026-patch-tuesday-fixes-120-flaws-no-zero-days/
