Microsoft: Über 170 Sicherheitslücken in großem Patch-Paket

Der Software-Riese aus Redmond hat ein kritisches Update veröffentlicht, das mehr als 170 Schwachstellen behebt – darunter mindestens zwei Zero-Day-Exploits, die bereits aktiv von Angreifern genutzt werden. Gleichzeitig markiert das Oktober-Update das Ende der Sicherheitsupdates für Windows 10.

Das Patch Tuesday-Update für Oktober 2025 umfasst Korrekturen für bis zu 193 Sicherheitslücken im gesamten Microsoft-Ökosystem. Besonders brisant: Cyberkriminelle nutzen bereits zwei der nun geschlossenen Lücken aktiv aus. Das macht dieses Update zu einem der kritischsten des Jahres.

Aktiv genutzte Zero-Day-Lücken im Visier

Die gefährlichste Schwachstelle trägt die Kennung CVE-2025-24990 und steckt im Agere-Modem-Treiber – einer Komponente, die seit zwei Jahrzehnten fester Bestandteil von Windows ist. Microsoft hat den problematischen Treiber kurzerhand komplett entfernt. Angreifer konnten über diese Lücke Administrator-Rechte erlangen.

Eine zweite Zero-Day-Lücke (CVE-2025-59230) betrifft den Windows Remote Access Connection Manager, der VPN- und Einwählverbindungen verwaltet. Hier können Angreifer sogar SYSTEM-Privilegien erlangen – und damit die komplette Kontrolle über ein System übernehmen.

Die US-Cybersicherheitsbehörde CISA hat beide Zero-Days bereits in ihren Katalog bekannter ausgenutzer Schwachstellen aufgenommen. Das unterstreicht die Dringlichkeit für Unternehmen und Privatnutzer gleichermaßen.

Kritische Lücken mit Höchstwertung

Neben den Zero-Days behebt das Update zahlreiche weitere schwere Sicherheitslücken: 80 Schwachstellen ermöglichen eine Rechte-Ausweitung, 31 weitere die Fernausführung von Code.

Besonders kritisch ist CVE-2025-59287 im Windows Server Update Service (WSUS) mit einem CVSS-Score von 9,8. Angreifer ohne Authentifizierung könnten über das Netzwerk Code ausführen. Sicherheitsexperten warnen: Diese Lücke wird „sehr wahrscheinlich“ bald ausgenutzt werden.

Weitere kritische Schwachstellen stecken in der Microsoft Graphics Component (CVE-2025-49708) und ASP.NET Core (CVE-2025-55315) – beide mit dem Höchstscore von 9,9 bewertet.

Windows 10: Das Ende einer Ära

Das Oktober-Update markiert gleichzeitig das finale Sicherheitsupdate für Windows 10. Millionen Nutzer müssen nun auf Windows 11 umsteigen oder alternative Sicherheitsmaßnahmen ergreifen.

Anzeige: Apropos Ende der Windows‑10‑Updates: Wer jetzt umsteigt, sollte Datenverlust und Ausfallzeiten vermeiden. Der kostenlose Report „Windows 11 Komplettpaket“ zeigt Schritt für Schritt den risikofreien Wechsel – inklusive Daten- und Programmübernahme sowie den wichtigsten Neuerungen. Jetzt den Gratis-Report „Windows 11 Komplettpaket“ sichern

Die schiere Menge der diesmal geschlossenen Lücken verdeutlicht die anhaltende Bedrohungslage. Besonders die Fokussierung auf Rechte-Ausweitung ist brisant, da solche Schwachstellen oft mit anderen Exploits verknüpft werden, um Systeme vollständig zu kompromittieren.

Dringender Handlungsbedarf

Da Angreifer bereits zwei der nun gepatchten Lücken nutzen, sollten alle Nutzer das Update sofort installieren. Bei den anderen kritischen Schwachstellen läuft bereits das Wettrennen: Cyberkriminelle werden versuchen, die Patches zu analysieren und eigene Exploits zu entwickeln.

Für Windows-10-Nutzer ohne Upgrade-Möglichkeit beginnt eine schwierige Zeit. Ihre Systeme werden zunehmend verwundbarer, da künftige Sicherheitslücken ungepatcht bleiben.

Anzeige: Ihr PC gilt offiziell als „inkompatibel“ für Windows 11? Es gibt einen legalen Weg – ohne neue Hardware und ohne Datenverlust. IT-Experte Manfred Kratzl erklärt den Ablauf im kostenlosen PDF-Report mit bebilderter Schritt-für-Schritt-Anleitung. Kostenlosen Report „Systemanforderungen in Windows 11 umgehen“ herunterladen

Die Cybersicherheits-Community beobachtet die Lage aufmerksam – das große Oktober-Update unterstreicht einmal mehr, wie wichtig konsequente Patch-Verwaltung geworden ist.