Microsoft: 172 neue Sicherheitslücken im Oktober-Update
15.10.2025 - 17:05:02Microsoft schließt über 170 Sicherheitslücken, darunter drei aktiv ausgenutzte Zero-Day-Schwachstellen. Das Update fällt mit dem Ende des Windows 10-Supports zusammen und erhöht die Dringlichkeit für Nutzer.
Microsoft hat eines der umfangreichsten Sicherheitsupdates des Jahres veröffentlicht. Über 172 neue Schwachstellen wurden geschlossen, darunter mehrere Zero-Day-Lücken, die bereits aktiv ausgenutzt werden. Cybersicherheitsbehörden warnen vor der kritischen Natur der Exploits und fordern sofortige Installation.
Das Ausmaß der Oktober-Patches ist beeindruckend: Drei Zero-Day-Schwachstellen stehen unter aktivem Angriff, während Dutzende weitere kritische Lücken in Windows, Office und Serverprodukten geschlossen wurden. Die US-Cybersicherheitsbehörde CISA hat die ausgenutzte Schwachstellen bereits in ihren Katalog „Known Exploited Vulnerabilities“ aufgenommen – Bundesbehörden müssen bis Anfang November patchen.
Was die Situation zusätzlich verschärft? Das Ende des kostenlosen Sicherheitssupports für Windows 10 fällt zeitlich genau mit diesem kritischen Update zusammen. Millionen von Nutzern stehen vor einer schwierigen Entscheidung.
Zero-Day-Angriffe erfordern sofortiges Handeln
Die drei bereits ausgenutzte Zero-Day-Lücken stellen die größte Bedrohung dar. CVE-2025-24990 betrifft einen Agere-Modem-Treiber, der standardmäßig in Windows-Systemen enthalten ist. Angreifer können damit Administrator-Rechte erlangen und vollständige Systemkontrolle übernehmen.
Microsofts Lösung war drastisch: Der Oktober-Patch entfernt den veralteten Treiber komplett aus dem System. Ein ungewöhnlicher Schritt, der die Schwere der Sicherheitslücke unterstreicht.
Ebenso kritisch ist CVE-2025-59230 – eine Schwachstelle im Windows Remote Access Connection Manager. Diese Komponente ist weit verbreitet und wurde bereits mehrfach gepatcht. Erstmals jedoch nutzen Kriminelle eine solche Lücke als Zero-Day aus. Sicherheitsexperten warnen: Solche Fehler werden oft mit anderen Exploits verknüpft, um komplette Systemübernahmen zu erreichen.
Office und Windows Server im Visier
Neben den Zero-Days schließt Microsoft zahlreiche kritische Remote Code Execution-Lücken. Besonders schwerwiegend ist CVE-2025-59287 in den Windows Server Update Services (WSUS) mit einem CVSS-Score von 9,8 von 10 möglichen Punkten. Angreifer können ohne Authentifizierung Code ausführen – ein Alptraum für Administratoren.
Die Microsoft Office-Suite erhielt ebenfalls kritische Patches. CVE-2025-59234 und CVE-2025-59236 ermöglichen Remote-Code-Ausführung über manipulierte Dateien. Ein geöffneter E-Mail-Anhang könnte bereits ausreichen, um Ransomware zu installieren oder sensible Daten zu stehlen.
Wie gefährlich sind solche Angriffe in der Praxis? Cyberkriminelle nutzen oft die Neugier der Nutzer aus – eine scheinbar harmlose Excel-Datei wird zur digitalen Zeitbombe.
Windows 10: Das Ende einer Ära
Die Brisanz der aktuellen Patches wird durch das Ende des Windows 10-Supports am 14. Oktober 2025 noch verstärkt. Millionen von Nutzern verlieren den kostenlosen Sicherheitsschutz genau zu dem Zeitpunkt, an dem kritische Schwachstellen aufgedeckt werden.
Anzeige: Passend zum Support-Ende von Windows 10: Ihr PC gilt als „inkompatibel“ für Windows 11? Es gibt einen legalen Weg, das Upgrade trotzdem durchzuführen – ohne neue Hardware und ohne Datenverlust. Ein kostenloser PDF‑Report von IT‑Experte Manfred Kratzl erklärt den Ablauf Schritt für Schritt, leicht verständlich auch für Einsteiger. Jetzt kostenlosen Windows‑11‑Report sichern
Unternehmen stehen vor einer schwierigen Entscheidung: Migration zu Windows 11, teure Extended Security Updates oder das Risiko ungeschützte Systeme. Für Cyberkriminelle eine ideale Situation – veraltete Systeme werden zum bevorzugten Angriffsziel.
Sofortmaßnahmen und Zukunftsaussichten
IT-Administratoren sollten prioritär die bereits ausgenutzte Zero-Day-Lücken schließen. Die WSUS- und Office-Schwachstellen folgen unmittelbar danach auf der Dringlichkeitsliste. Während Systeme gepatcht werden, arbeiten Angreifer bereits daran, die neu bekannt gewordenen Lücken zu analysieren.
Das Ende der Windows 10-Ära wird wahrscheinlich zu einem Anstieg der Angriffe auf ungepatcht Legacy-Systeme führen. Für Privatnutzer ist die automatische Update-Funktion der beste Schutz. Dieses Oktober-Update zeigt einmal mehr: In der Cybersicherheit ist permanente Wachsamkeit überlebenswichtig.
