Microsoft fixt 118 lekken, maar deze maand zonder noodpatches
Microsoft heeft op de tweede dinsdag van mei updates uitgebracht voor minstens 118 beveiligingslekken in Windows en andere producten. Opvallend: dit is de eerste Patch Tuesday in bijna twee jaar zonder noodfix voor een al misbruikt zero-day lek. Ook zijn er geen lekken gemeld die al eerder openbaar waren gemaakt.
Dat klinkt als goed nieuws, en dat is het ook. Toch zitten er nog genoeg serieuze fouten tussen, met 16 kritieke lekken. Die kunnen in het slechtste geval iemand van buitenaf op een kwetsbare Windows-pc of Windows-server laten meekijken of meekomen.
Wat valt op?
De bron laat vooral één ding zien: softwaremakers fixen dit jaar veel bugs, en sneller dan eerst. Dat geldt niet alleen voor Microsoft,maar ook voor Apple,Google,Mozilla en Oracle. Volgens de bron speelt een AI-systeem van Anthropic, Project glasswing, daar een rol in. Dat systeem lijkt goed in het vinden van fouten in code.
Dat is een rare mix van goed en slecht nieuws. Goed, omdat er sneller fouten boven water komen. Slecht, omdat het ook laat zien hoeveel bugs er nog in veel gebruikte software zitten.
Welke Microsoft-lekken springen eruit?
Rapid7 noemt drie Microsoft-lekken die extra aandacht trekken. dat zijn er geen die je als gewone gebruiker zelf kunt “zien”, maar ze kunnen wel grote gevolgen hebben voor systemen op een werkplek of in een bedrijf.
| CVE | Wat is het kort gezegd? | Gevolg volgens bron |
|---|---|---|
| CVE-2026-41089 | Kritische buffer overflow in Windows Netlogon | Aanvaller kan SYSTEM-rechten krijgen op de domeincontroller |
| CVE-2026-41096 | Kritische RCE in de Windows DNS-client | Externe misbruik van het lek is mogelijk, al acht Microsoft dat minder waarschijnlijk |
| CVE-2026-41103 | Kritische fout voor hoger rechten | Een onbevoegde aanvaller kan zich voordoen als bestaande gebruiker en Entra ID omzeilen |
Voor gewone mensen en kleine bedrijven is vooral de pc of server achter de schermen belangrijk. Als zo’n systeem niet goed bijgewerkt is, kan dat risico geven voor inloggen, netwerkverkeer of beheer op kantoor.de meeste mensen zullen dit dus niet “merken” als een pop-up, maar juist als iets dat ongemerkt mis kan gaan.
Wie loopt risico?
Voor thuisgebruikers draait het vooral om Windows-pc’s en browsers die nog moeten worden bijgewerkt. Voor zzp’ers en kleine bedrijven telt ook mee of jullie Windows Server gebruiken, vooral als daar domeinbeheer of DNS op draait.
apple, Google, Mozilla en Oracle zijn deze maand ook nadrukkelijk bezig geweest met grote updates. Dat betekent dat niet alleen Windows belangrijk is. Veel mensen gebruiken dagelijks een iPhone, Chrome of Firefox naast hun werk-pc, en dan wil je die ook niet laten hangen op een oude versie.
Wat merk jij hiervan?
Meestal merk je er niks van, behalve dat er ineens een update klaarstaat. Soms moet je browser of computer opnieuw starten. Bij Chrome is dat extra belangrijk, want de update wordt wel automatisch binnengehaald, maar moet nog volledig opnieuw worden gestart om echt te werken.
Voor kleine bedrijven kan dit meer impact hebben:
- een Windows-server kan extra gevoelig zijn als daar Netlogon of DNS op draait;
- een domeincontroller is extra belangrijk, omdat die veel regelt voor inloggen en rechten;
- oude apparaten die niet meer netjes worden bijgewerkt, zijn vaak het zwakste punt.
Ook handig om te weten: in mei heeft Apple updates uitgebracht voor minstens 52 lekken en die zelfs teruggezet tot iPhone 6s en iOS 15. Mozilla heeft Firefox 150 uitgebracht met 271 fixes volgens de bron, en daarna zelfs een snellere wekelijkse update-aanpak. Oracle heeft het tempo ook opgevoerd en zegt nu over te stappen op een maandritme voor kritieke beveiligingsproblemen.Google Chrome kreeg op 8 mei updates voor 127 beveiligingslekken.
Wat moet je nu nalopen?
Dit is geen rampenlijst, maar wel een slim rondje langs de bekende apparaten. Houd het simpel:
- Windows-pc’s: check of de mei-update is geïnstalleerd.
- Windows-servers: laat vooral domeincontrollers en DNS-servers niet liggen.
- Chrome: herstart de browser echt helemaal na de update.
- Firefox: kijk of de nieuwste versie erop staat, zeker als je die zakelijk gebruikt.
- iPhone/iPad: controleer of de recente Apple-update is binnengekomen.
- Werkplek back-up: als je nog geen recente back-up hebt, maak die eerst.
Voor kleine bedrijven is het verstandig om eerst de belangrijkste systemen te pakken. Denk aan de laptop van de boekhouding, de pc van de administratie en servers die inloggen of netwerkdiensten regelen. Eén oude bak kan anders een rare zwakke plek worden. 🦫
Kort om mee te nemen
De bron laat geen grote aanvalsgolf zien, maar wel een maand met veel beveiligingswerk. Microsoft heeft 118 lekken opgelost zonder actieve zero-day in de patchronde van mei. Tegelijk blijven andere grote namen flink doorpatchen.
De simpele boodschap is dus: update je spul, maar raak niet in paniek. Gewoon netjes nalopen is hier genoeg. Wie systemen beheert, doet er goed aan om vooral Windows Server, browsers en telefoons niet te vergeten.
Als je dit nieuws volgt, is Microsoft test MDASH voor slimmer zoeken naar lekken Microsoft heeft een nieuw ook nog wel interessant.
Meer lezen
Wil je het oorspronkelijke securitybericht zien? Dat staat op Patch Tuesday, May 2026 Edition.
Bevers gedachte
Dit is zo’n maand waarin onderhoud belangrijker is dan drama. Geen noodpatch hoeft niet te betekenen dat alles rustig is. Het betekent vooral dat de grote makers hard blijven werken om fouten dicht te timmeren.
Voor gewone gebruikers is de les klein maar nuttig: updates zijn niet alleen “gedoe”, ze houden je laptop, telefoon en browser echt veiliger. En voor wie een klein netwerk runt: laat de serieuze systemen niet de laatste zijn die een beurt krijgen.