Microsoft hat sein letztes planmäßiges Sicherheitsupdate für das Jahr 2025 veröffentlicht und schließt damit 56 Schwachstellen in Windows, Office und anderer Software. Das Update behebt eine bereits aktiv ausgenutzte Zero-Day-Lücke sowie mehrere als kritisch eingestufte Fehler, die Angreifern weitreichende Kontrolle über Systeme ermöglichen könnten.
Insgesamt hat das Unternehmen im Jahr 2025 eine Rekordzahl von 1.129 Sicherheitsproblemen behoben, was die wachsende Komplexität der Bedrohungslandschaft unterstreicht. Nutzer werden dringend aufgefordert, die Updates umgehend zu installieren.
Die wichtigsten Punkte
- Microsofts Dezember-Update schließt 56 Sicherheitslücken.
- Eine Zero-Day-Lücke (CVE-2025-62221) wird bereits aktiv für Angriffe genutzt.
- Drei kritische Schwachstellen in Microsoft Office und Outlook ermöglichen Angriffe allein durch die E-Mail-Vorschau.
- Eine neue Sicherheitslücke betrifft auch KI-Entwicklerwerkzeuge wie den GitHub Copilot.
- Im Gesamtjahr 2025 wurden 1.129 Schwachstellen von Microsoft behoben, ein Anstieg von fast 12 % gegenüber dem Vorjahr.
Aktive Bedrohung durch Zero-Day-Lücke
Im Zentrum des aktuellen Patch-Tages steht die Schwachstelle mit der Kennung CVE-2025-62221. Diese Lücke wird als „Zero-Day“ bezeichnet, da sie bereits von Angreifern ausgenutzt wurde, bevor ein offizielles Update zur Verfügung stand. Es handelt sich um einen Fehler zur Rechteerweiterung (Privilege Escalation) in Windows 10 und neueren Versionen.
Die Sicherheitslücke befindet sich im „Windows Cloud Files Mini Filter Driver“, einer Systemkomponente, die für die Anbindung von Cloud-Speichern wie OneDrive, Google Drive oder iCloud zuständig ist. „Dies ist besonders besorgniserregend, da der Mini-Filter ein integraler Bestandteil von Diensten wie OneDrive, Google Drive und iCloud ist und selbst dann eine Kernkomponente von Windows bleibt, wenn keine dieser Apps installiert wurde“, erklärt Adam Barnett, leitender Software-Ingenieur bei Rapid7.
Ein erfolgreicher Angriff könnte es einem Programm mit geringen Rechten ermöglichen, sich Administratorrechte zu verschaffen und so die vollständige Kontrolle über das betroffene System zu erlangen.
Kritische Fehler in Office und Outlook
Microsoft stuft drei der behobenen Schwachstellen als „kritisch“ ein, die höchste Gefahrenstufe. Zwei davon, CVE-2025-62554 und CVE-2025-62557, betreffen Microsoft Office. Angreifer könnten diese ausnutzen, indem sie eine speziell präparierte E-Mail versenden. Das bloße Anzeigen der Nachricht im Vorschaufenster von Outlook würde ausreichen, um schädlichen Code auszuführen.
Eine weitere kritische Lücke, CVE-2025-62562, betrifft Microsoft Outlook direkt. Obwohl hier das Vorschaufenster laut Microsoft kein Angriffsvektor ist, bleibt das Risiko hoch. Nutzer sollten daher die Updates für das gesamte Office-Paket schnellstmöglich einspielen.
Hintergrund: Ein Rekordjahr für Schwachstellen
Mit den Updates vom Dezember steigt die Gesamtzahl der von Microsoft im Jahr 2025 geschlossenen Sicherheitslücken auf 1.129. Dies stellt einen Anstieg von 11,9 % im Vergleich zu 2024 dar. Laut Satnam Narang von Tenable ist es das zweite Jahr in Folge, in dem die Marke von tausend Schwachstellen überschritten wurde. Diese Zahlen verdeutlichen den kontinuierlichen Druck auf Softwarehersteller, ihre Produkte gegen immer neue Angriffsmethoden abzusichern.
Weitere gefährliche Lücken im Fokus
Obwohl sie nicht als „kritisch“ eingestuft sind, hat Microsoft mehrere weitere Schwachstellen als „wahrscheinlich ausnutzbar“ markiert. Dabei handelt es sich ebenfalls um Fehler, die eine Rechteerweiterung ermöglichen. Solche Lücken sind für Angreifer besonders wertvoll, da sie oft der zweite Schritt nach einem ersten, erfolgreichen Eindringen sind.
Kev Breen, Senior Director of Threat Research bei Immersive, merkt an, dass Fehler zur Rechteerweiterung bei fast jedem Vorfall beobachtet werden, bei dem Systeme kompromittiert werden. Folgende Komponenten sind betroffen:
- Win32k (CVE-2025-62458)
- Windows Common Log File System Driver (CVE-2025-62470)
- Windows Remote Access Connection Manager (CVE-2025-62472)
- Windows Storage VSP Driver (CVE-2025-59516 und CVE-2025-59517)
„Wir wissen nicht, warum Microsoft diese speziell als wahrscheinlicher eingestuft hat, aber die Mehrheit dieser Komponenten wurde in der Vergangenheit bereits in freier Wildbahn ausgenutzt oder es gibt genügend technische Details zu früheren CVEs, die es Bedrohungsakteuren erleichtern würden, diese zu bewaffnen“, so Breen.
Auch KI-Entwicklerwerkzeuge sind betroffen
Eine besonders interessante Schwachstelle ist CVE-2025-64671. Sie betrifft das GitHub Copilot Plugin für Jetbrains, ein KI-gestütztes Programmierwerkzeug. Ein Angreifer könnte ein großes Sprachmodell (LLM) dazu verleiten, Befehle auszuführen, die Sicherheitsvorkehrungen umgehen und bösartige Anweisungen in die Einstellungen des Nutzers einschleusen.
Ebenfalls öffentlich bekannt war die Lücke CVE-2025-54100 in Windows Powershell, die es einem nicht authentifizierten Angreifer ermöglicht, aus der Ferne Code auszuführen. Dieser Fehler betrifft Windows Server 2008 und neuere Versionen.
Empfehlung: Updates sofort installieren
Aufgrund der Schwere der behobenen Lücken, insbesondere der aktiv ausgenutzten Zero-Day-Schwachstelle und der kritischen Fehler in Office, wird allen Windows-Nutzern dringend empfohlen, die verfügbaren Updates über die Windows-Update-Funktion zu installieren. Administratoren in Unternehmen sollten die Verteilung der Patches priorisieren, um ihre Netzwerke zu schützen.
