Patch Tuesday April 2026 — was das KMU wirklich einspielen muss
Microsoft hat im April-Rollup 47 CVEs adressiert. Drei kritisch, acht ausgenutzt oder mit hohem Impact. Der kuratierte Blick für Schweizer Admins.
Das April-Rollup war umfangreich, aber nicht chaotisch. 47 CVEs über Windows, Office, Exchange, SharePoint, Azure und Dynamics. Das MSRC hat drei als kritisch eingestuft. Wichtig für KMU: Nicht alle sind für jeden relevant. Hier die Kuratierung nach Einsatz-Szenario.
Pflicht: Wer Exchange On-Prem fährt
Die oben besprochene RCE in der ECP-Komponente (CVE-2026-31415) ist die wichtigste Einzelbaustelle. KB5049812 oder KB5049813 innerhalb von 48 Stunden einspielen, wenn der Patch noch nicht drauf ist.
Pflicht: Wer Windows 10/11 mit Druckern fährt
Die Privilege-Escalation im Print Spooler (CVE-2026-29001) betrifft alle unterstützten Windows-Versionen. CVSS 7.8, keine aktive Ausnutzung bekannt, aber niedrige Komplexität — genau der Typ Lücke, der schnell in Exploit-Kits landet. Der Fix ist im regulären Cumulative Update enthalten.
Kann warten (aber nicht lang): SharePoint On-Prem
Der gespeicherte XSS (CVE-2026-28870) ist mittel eingestuft und betrifft nur Umgebungen mit Custom-Listenansichten. Wer SharePoint Online nutzt, ist ohnehin nicht betroffen — dort ist der Fix serverseitig eingespielt. On-Prem-Farmen können mit dem nächsten regulären Wartungsfenster patchen, sollten aber nicht bis zum Mai-Rollup warten.
Was nicht eingespielt werden muss
CVE-2026-27123 (Azure Monitor SSRF) — Microsoft hat serverseitig gepatcht, Kundenaktion nicht nötig. Die üblichen Office-Click-to-Run-Fixes für Outlook und Word kommen automatisch, sofern Update-Ringe nicht zu restriktiv konfiguriert sind.