Microsoft hat sein monatliches Sicherheitsupdate, den sogenannten Patch Tuesday für November 2025, veröffentlicht. Das Update-Paket behebt insgesamt 63 Sicherheitslücken in verschiedenen Microsoft-Produkten. Besondere Dringlichkeit besteht bei einer Schwachstelle, die bereits aktiv von Angreifern ausgenutzt wird.
Wichtige Erkenntnisse
- Microsoft hat 63 Sicherheitslücken mit dem November 2025 Patch Tuesday geschlossen.
- Eine der Schwachstellen (CVE-2025-62215) wird bereits aktiv ausgenutzt (Zero-Day).
- Vier der behobenen Fehler wurden als „kritisch“ eingestuft und ermöglichen unter anderem die Remote-Code-Ausführung.
- Das Update markiert auch den Beginn der erweiterten Sicherheitsupdates (ESU) für Windows 10.
Ein aktiv ausgenutzter Zero-Day im Fokus
Im Mittelpunkt des November-Updates steht die Behebung einer kritischen Schwachstelle im Windows-Kernel, die unter der Kennung CVE-2025-62215 geführt wird. Microsoft bestätigt, dass diese Lücke bereits für Angriffe genutzt wird, bevor ein offizieller Patch zur Verfügung stand – ein sogenannter Zero-Day-Exploit.
Die Sicherheitslücke ermöglicht es einem Angreifer, der bereits lokalen Zugriff auf ein System hat, seine Berechtigungen auf die höchste Stufe (SYSTEM) zu erweitern. Dies verschafft ihm die vollständige Kontrolle über das betroffene Gerät. Laut Microsoft handelt es sich um eine „Race Condition“, bei der ein Angreifer durch die Ausnutzung einer fehlerhaften Synchronisation bei der Nutzung gemeinsamer Ressourcen die Kontrolle erlangen kann.
Obwohl die Entdeckung dem Microsoft Threat Intelligence Center (MSTIC) und dem Microsoft Security Response Center (MSRC) zugeschrieben wird, hat das Unternehmen bisher keine Details darüber veröffentlicht, bei welchen Angriffen diese Schwachstelle konkret zum Einsatz kam.
Was ist eine Zero-Day-Schwachstelle?
Eine Zero-Day-Schwachstelle ist ein Fehler in einer Software, der den Entwicklern noch nicht bekannt ist oder für den es noch keine offizielle Korrektur gibt. Angreifer, die eine solche Lücke entdecken, können sie ausnutzen, um Systeme zu kompromittieren. Da kein Schutz existiert, gelten solche Angriffe als besonders gefährlich.
Vier kritische Schwachstellen behoben
Neben der Zero-Day-Lücke stuft Microsoft vier weitere Schwachstellen als „kritisch“ ein, was der höchsten Gefahrenstufe entspricht. Diese Fehler könnten es Angreifern ermöglichen, erheblichen Schaden anzurichten, oft ohne direkte Interaktion des Nutzers.
Die kritischen Lücken im Detail:
- CVE-2025-62199: Eine Schwachstelle in Microsoft Office, die Remote-Code-Ausführung ermöglicht.
- CVE-2025-62214: Ein Fehler in Visual Studio, der ebenfalls zur Remote-Code-Ausführung missbraucht werden kann.
- CVE-2025-30398: Eine Informationspreisgabelücke in Nuance PowerScribe 360.
- CVE-2025-60716: Eine Rechteerweiterungsschwachstelle in DirectX Graphics Kernel.
Remote-Code-Ausführung (RCE) ist besonders gefährlich, da Angreifer darüber Schadcode auf fremden Systemen aus der Ferne ausführen können. Dies kann zur vollständigen Übernahme des Systems, zur Installation von Ransomware oder zum Diebstahl sensibler Daten führen.
Die Verteilung der Schwachstellen nach Typ
Das November-Update adressiert eine breite Palette von Sicherheitsproblemen. Die 63 behobenen Lücken verteilen sich wie folgt:
- 29 Rechteerweiterungen (Elevation of Privilege)
- 16 Remote-Code-Ausführungen (Remote Code Execution)
- 11 Informationspreisgaben (Information Disclosure)
- 3 Denial-of-Service-Angriffe
- 2 Umgehungen von Sicherheitsfunktionen (Security Feature Bypass)
- 2 Spoofing-Angriffe
Besonderheiten für Windows 10 Nutzer
Der November 2025 Patch Tuesday ist ein wichtiger Meilenstein für Nutzer von Windows 10. Mit diesem Datum beginnt offiziell das Programm für erweiterte Sicherheitsupdates (Extended Security Updates, ESU). Da der reguläre Support für Windows 10 ausgelaufen ist, erhalten nur noch Nutzer, die für das ESU-Programm registriert sind und dafür bezahlen, weiterhin Sicherheitsupdates.
Microsoft rät allen verbleibenden Windows 10-Nutzern dringend, entweder auf Windows 11 zu aktualisieren oder sich für das ESU-Programm anzumelden, um weiterhin vor neuen Bedrohungen geschützt zu sein.
Für Unternehmen, die Probleme bei der Registrierung für das ESU-Programm hatten, hat Microsoft ein außerplanmäßiges Update veröffentlicht, das einen Fehler bei der Anmeldung behebt.
Auch andere Hersteller veröffentlichen Updates
Der November ist traditionell ein aktiver Monat für Sicherheitsupdates in der gesamten Technologiebranche. Neben Microsoft haben auch zahlreiche andere Unternehmen wichtige Patches veröffentlicht, um ihre Produkte abzusichern.
Dazu gehören unter anderem:
- Adobe: Updates für wichtige Produkte wie Photoshop, InDesign und Illustrator.
- Google: Das monatliche Android-Sicherheitsbulletin, das mehrere Schwachstellen im mobilen Betriebssystem schließt.
- Cisco: Patches für eine Reihe von Netzwerkprodukten, darunter Cisco ASA.
- SAP: Sicherheitsupdates, die eine kritische Lücke mit der höchsten Bewertung (10/10) in SQL Anywhere Monitor beheben.
- QNAP: Updates zur Behebung von sieben Zero-Day-Schwachstellen, die während eines Hacking-Wettbewerbs aufgedeckt wurden.
Diese breite Veröffentlichung von Updates unterstreicht die Notwendigkeit für private Nutzer und Unternehmen, eine regelmäßige Patch-Management-Strategie zu verfolgen, um alle genutzten Geräte und Softwareanwendungen auf dem neuesten Stand zu halten.
