CVE-2025-24990

Today is Microsoft's October 2025 Patch Tuesday, which includes security updates for 172 flaws, including six zero-day vulnerabilities. Get patching! [...]

Microsoft has fixed over 170 CVEs in October’s Patch Tuesday, including six zero-day vulnerabilities

Im Zuge einer besonders ausgiebigen Patchrunde hat Microsoft unter anderem kritische Azure- und Office-Lücken behoben sowie drei aktive Exploits ausgehebelt.

Im Vergleich zum Vormonat liefert Microsoft zum Oktober-Patchday mehr als doppelt so viele Patches aus. Attacken auf Windows-Nutzer laufen schon. ( Patchday , Microsoft )

Microsoft hat im Rahmen des Patch Tuesday im Oktober 2025 Updates veröffentlicht, mit denen insgesamt 172 Sicherheitslücken in Windows-Betriebssystemen geschlossen werden. Mindestens zwei der Schwachstellen werden laut dem Unternehmen bereits aktiv ausgenutzt. Zudem markiert dieser Patch Tuesday das letzte Mal, dass Microsoft Sicherheitsupdates für Windows 10 bereitstellt. Der erste in diesem Monat behobene Zero-Day-Fehler (CVE-2025-24990) betrifft einen Modemtreiber des Drittanbieters Agere Modem, der seit rund zwanzig Jahren Bestandteil von Windows ist. Aufgrund aktiver Angriffe auf diese Schwachstelle entfernte Microsoft den anfälligen Treiber vollständig aus dem Betriebssystem. Die zweite Zero-Day-Schwachstelle, CVE-2025-59230, steckt im Windows-Dienst Remote Access Connection Manager (RasMan), der für die Verwaltung von Remote-Netzwerkverbindungen über VPNs und Einwahlnetzwerke zuständig ist. Der Beitrag Microsoft Patch Tuesday Oktober 2025: Letzte Sicherheitsupdates für Windows 10 und 172 Lücken geschlossen erschien zuerst auf All About Security Das Online-Magazin zu Cybersecurity (Cybersicherheit). Ransomware, Phishing, IT-Sicherheit, Netzwerksicherheit, KI, Threats, DDoS, Identity & Access, Plattformsicherheit .

Der Oktober-Patchday umfasst 177 sicherheitsrelevante Korrekturen für Windows, Office, Azure, Edge, Hyper-V, Exchange, .NET, Visual Studio, BitLocker und Xbox. Mit den zusätzlich einbezogenen Drittanbieter-Einträgen steigt die Gesamtzahl auf 195 CVEs. 16 davon sind kritisch, drei werden aktiv ausgenutzt, drei sind öffentlich bekannt.

Beim Patch Day am 14. Oktober hat Microsoft Sicherheits-Updates gegen 175 neue Sicherheitslücken bereitgestellt. Das ist das dickste Update-Paket, das Microsoft je veröffentlicht hat. Damit ist die Zahl der gestopften Lücken des Vorjahrs bereits erreicht. Wenn die beiden letzten Monate ebenfalls üppige Patch-Tage bringen, kann 2025 ein Rekordjahr werden. Acht Schwachstellen in Windows und Office stuft Microsoft als kritisch ein. Laut Microsoft werden bereits drei Schwachstellen für Angriffe ausgenutzt. Spärliche Details zu den Sicherheitslücken bietet Microsoft zum Selbstsuchen im Leitfaden für Sicherheitsupdates . Deutlich übersichtlicher bereitet Dustin Childs im Blog von Trend Micro ZDI das Thema Update-Dienstag auf – stets auch mit Blick auf Admins, die Unternehmensnetzwerke betreuen. Die wichtigsten Sicherheitslücken beim Patch Day im Oktober CVE anfällige Software Schwere­grad Aus­wirkung ausge­nutzt vorab bekannt CVSS CVE-2025-24990 Windows Treiber hoch EoP ja nein 7.8 CVE-2025-59230 Windows, Remote Access hoch EoP ja nein 7.8 CVE-2025-49708 Windows, Grafikkomponente kritisch RCE nein nein 9.9 CVE-2025-59287 Windows Server WSUS kritisch RCE nein nein 9.8 CVE-2025-59236 Microsoft Office kritisch RCE nein nein 8.4 CVE-2025-59234 Microsoft Office kritisch RCE nein nein 7.8 CVE-2025-59227 Microsoft Office kritisch RCE nein nein 7.8 CVE-2016-9535 libTIFF kritisch RCE nein nein 4.0 Browser-Updates Das bislang neueste Sicherheits-Update auf Edge 141.0.3537.71 stammt vom 9. Oktober und basiert auf Chromium 141.0.7390.66. Es behebt mehrere Chromium-Schwachstellen sowie eine Edge-spezifische Lücke. Google hat inzwischen ein neues Sicherheits-Update (141.0.7390.108) bereitgestellt, auf das Microsoft im Laufe dieser Woche reagieren muss. Mehrere kritische Office-Lücken In seinen Office-Produkten hat Microsoft 18 Schwachstellen geschlossen, darunter 15 RCE-Lücken (remote code execution). Drei dieser RCE-Lücken (CVE-2025-59227, -59234, -59236) weist Microsoft als kritisch aus, da das Vorschaufenster als Angriffsvektor gilt. Das heißt, dass es für eine erfolgreiche Attacke bereits genügt, wenn eine präparierte Datei in der Vorschau angezeigt wird. Der Benutzer muss sie weder anklicken noch öffnen. Die übrigen Office-Lücken stuft Microsoft als hohes Risiko ein. Hier muss ein Anwender eine präparierte Datei öffnen, damit der Exploit-Code wirksam werden kann („open to own“). Für Microsoft Office 2016 & 2019 ist damit das Ende der Fahnenstange erreicht: Es gibt ab sofort keine weiteren Updates mehr, auch kein ESU-Programm. Schwachstellen in Windows Ein großer Anteil der Schwachstellen, dieses Mal 134, verteilt sich über die verschiedenen Windows-Versionen (10, 11, Server), für die Microsoft noch Sicherheits-Updates für alle anbietet. Windows 7 und 8.1 werden zwar in den Sicherheitsberichten nicht mehr erwähnt, könnten jedoch anfällig sein. Soweit die Systemanforderungen das zulassen, sollten Sie auf Windows 10 (+ ESU-Programm!) oder gleich auf Windows 11 (24H2) wechseln, um weiterhin Sicherheits-Updates zu bekommen. ▶Die neuesten Sicherheits-Updates Windows 10 hat am 14. Oktober seine letzten Sicherheits-Updates erhalten – es sei denn, Sie registrieren sich bei Microsoft für das ESU-Programm (Erweiterte Sicherheits-Updates). Dann bekommen Sie noch ein weiteres Jahr Sicherheits-Updates , bis zum 13. Oktober 2026. Für privat genutzte Rechner innerhalb der EU ist das sogar gratis. Windows unter Beschuss Drei Windows-Lücken werden laut Microsoft bereits für Angriffe genutzt. Es beginnt mit einer EoP-Lücke in einem Treiber (CVE-2025-24990) für Agere-Modems, die hierzulande wohl kaum jemand kennt. Wie überhaupt kaum jemand unter 35 Jahren noch klassische 56K-Modems aus eigener Erfahrung kennen dürfte. Offenkundig hat jemand herausgefunden, wie man damit Windows 10 bis Server 2025 attackieren und sich Admin-Rechte verschaffen kann. Windows 10 bekommt Support bis 2032 – mit diesem Gratis-Tool Im Windows Remotezugriffs-Verbindungs-Manager lauert mit CVE-2025-59230 eine weitere EoP-Lücke, die bereits ausgenutzt wird. Ein erfolgreicher Angreifer kann seinen Code sogar mit Systemrechten ausführen. Dazu kombiniert er diese Schwachstelle mit einer RCE-Lücke – davon gibt es ja genug. Auch hier sind alle Windows-Versionen betroffen. Kurios erscheint die dritte 0-Day-Lücke: CVE-2025-47827 steckt in IGEL OS vor Version 11, einem auf Linux basierenden Betriebssystem. Wer physischen Zugang zum einem solchen Rechner hat, kann Secure Boot austricksen und ein manipuliertes Root-Dateisystem einhängen. Die Windows-Updates enthalten Aktualisierungen für IGEL OS, um dieses Sicherheitsrisiko zu beseitigen. Tipp: Unabhängig davon, dass Sie das Betriebssystem stets aktuell halten, sollten Sie die Sicherheit Ihres PCs zusätzlich mit geeigneter Antivirus-Software verbessern. Gute Antivirus-Lösungen stellen wir in „ Die besten Antivirus-Programme 2025 im Test: So schützen Sie Ihren Windows-PC “ vor. Falls Sie großen Wert auf anonymes Surfen legen, sind wiederum gute VPN-Programme einen Blick wert. Übrigens: Sollten Sie Windows 11 Home im Einsatz haben, dann entgehen Ihnen die vielen Vorteile der Pro-Version, die wir Ihnen hier vorstellen. Im PC-WELT Software-Shop ist das Windows-11-Upgrade für günstige 59,99 Euro statt 145 Euro erhältlich. Kritische Windows-Lücken Microsoft weist drei Sicherheitslücken in Windows als kritisch aus, alles RCE-Lücken. Darunter ist ein bereits seit 2016 bekannter Pufferüberlauf in der Open-Source-Bibliothek libTIFF 4.0.6. Diese kommt offenbar auch in Windows zum Einsatz und Microsoft schließt sie nun. Auch eine Use-after-free-Lücke in der Microsoft-Grafikkomponente (CVE-2025-49708) gilt als kritisch und hat den sehr hohen CVSS-Base-Score 9.9 (von 10). Mit CVSS 9.8 erscheint CVE-2025-59287 in Windows Server Update Service (WSUS) kaum weniger problematisch. Exchange 2016 & 2019 bekommen keine Updates mehr Auch für Exchange 2016 & 2019 ist der Support mit Ablauf des 14. Oktober vorbei. Unternehmen, die einen Microsoft Account-Manager haben, können mit diesem bereits seit 1. August ein ESU-Programm aushandeln. Das reicht jedoch nur bis zum 14. April 2026, ohne Option auf Verlängerung. Bis dahin sollte die Migration nach Exchange Subscription Edition (SE) oder Exchange Online abgeschlossen sein. Drei Sicherheitslücken hat Microsoft in Exchange noch geschlossen: zwei EoP-Lücken (CVE-2025-53782 und CVE-2025-59249) und eine Spoofing-Lücke (CVE-2025-59248). Im Oktober gibt es wieder ein neues Windows-Tool zum Entfernen bösartiger Software . Der nächste turnusmäßige Update-Dienstag ist am 11. November 2025.