Quelle: Depositphotos
Juli-Patchday: Microsoft schliesst 130 Lücken
Mit dem Juli-Patchday flickt Microsoft insgesamt 130 Lücken in seinen Produkten. Zehn der Schwachstellen werden dabei als kritisch eingestuft.
9. Juli 2025
Microsoft hat im Rahmen des Juli-Patchdays insgesamt 130 Sicherheitslücken (CVE) in seinen Produkten geschlossen. Betroffen sind unter anderem Windows und zugehörige Komponenten, Microsoft Office, .NET und Visual Studio, Azure, Microsoft Teams, Hyper-V, Bitlocker sowie Microsoft Edge. Weitere zehn Schwachstellen stammen aus Drittanbieterprodukten, was die Gesamtzahl der behandelten CVEs auf 140 erhöht.
Zehn der Sicherheitslücken stuft Microsoft als kritisch ein, die übrigen als wichtig. Eine Schwachstelle war zum Zeitpunkt der Veröffentlichung öffentlich bekannt, Hinweise auf aktive Angriffe lagen laut Microsoft jedoch nicht vor.
Laut der Zero Day Initiative, welche die CVEs jeweils analysiert und beschreibt, trägt eine der besonders relevanten Schwachstellen die Kennung CVE-2025-47981. Diese findet sich im Windows-Komponentenbereich SPNEGO Extended Negotiation und ermöglicht Remote-Code-Ausführung ohne Nutzerinteraktion und mit erhöhten Rechten. Microsoft erwartet, dass diese Schwachstelle innert 30 Tagen ausgenutzt werden könnte.
Eine weitere kritische Lücke betrifft Microsoft SQL Server (CVE-2025-49717). Angreifende könnten durch gezielte Anfragen Code auf dem Hostsystem ausführen. Für den Schutz vor dieser Lücke ist ein Update auf OLE DB Driver Version 18 oder 19 erforderlich.
Zehn der Sicherheitslücken stuft Microsoft als kritisch ein, die übrigen als wichtig. Eine Schwachstelle war zum Zeitpunkt der Veröffentlichung öffentlich bekannt, Hinweise auf aktive Angriffe lagen laut Microsoft jedoch nicht vor.
Laut der Zero Day Initiative, welche die CVEs jeweils analysiert und beschreibt, trägt eine der besonders relevanten Schwachstellen die Kennung CVE-2025-47981. Diese findet sich im Windows-Komponentenbereich SPNEGO Extended Negotiation und ermöglicht Remote-Code-Ausführung ohne Nutzerinteraktion und mit erhöhten Rechten. Microsoft erwartet, dass diese Schwachstelle innert 30 Tagen ausgenutzt werden könnte.
Eine weitere kritische Lücke betrifft Microsoft SQL Server (CVE-2025-49717). Angreifende könnten durch gezielte Anfragen Code auf dem Hostsystem ausführen. Für den Schutz vor dieser Lücke ist ein Update auf OLE DB Driver Version 18 oder 19 erforderlich.
Ebenfalls von der Zero Day Initiative explizit erwähnt wird die Schwachstelle CVE-2025-49704 in Microsoft Sharepoint. Diese wurde ursprünglich im Rahmen des Wettbewerbs Pwn2Own ausgenutzt und kann in Kombination mit anderen Lücken zur Codeausführung genutzt werden.
Auch Microsoft Office ist erneut betroffen: Vier kritische Lücken (u.a. CVE-2025-49695) erlauben Angriffe über die Vorschauansicht. Updates für Office LTSC für Mac sind aktuell noch nicht verfügbar, wie die Zero Day Initiative schreibt.
Zudem wurden 14 Schwachstellen im Routing- und Remotezugriffsdienst (RRAS) korrigiert. Weitere Lücken betreffen unter anderem Visual Studio, Azure Monitor Agent und Bitlocker. Bitlocker ist gleich mehrfach von Sicherheitslücken betroffen, die eine Umgehung der Verschlüsselungsfunktion ermöglichen.
Behoben werden ausserdem über 50 Schwachstellen, die eine Rechteausweitung (Elevation of Privilege) ermöglichen. Angreifende könnten damit administrative Rechte oder System-Level-Zugriffe erlangen.
Microsoft hat zudem Patches für mehrere Sicherheitsfunktionen, Spoofing-Szenarien, Informationslecks und Denial-of-Service-Angriffe bereitgestellt. Einige Patches – insbesondere in Azure- und SQL-Komponenten – erfordern manuelle Updates durch die Nutzerinnen und Nutzer. Weitere Informationen finden sich übersichtlich aufbereitet auf der Website der Zero Day Initiative. (mw)
Auch Microsoft Office ist erneut betroffen: Vier kritische Lücken (u.a. CVE-2025-49695) erlauben Angriffe über die Vorschauansicht. Updates für Office LTSC für Mac sind aktuell noch nicht verfügbar, wie die Zero Day Initiative schreibt.
Zudem wurden 14 Schwachstellen im Routing- und Remotezugriffsdienst (RRAS) korrigiert. Weitere Lücken betreffen unter anderem Visual Studio, Azure Monitor Agent und Bitlocker. Bitlocker ist gleich mehrfach von Sicherheitslücken betroffen, die eine Umgehung der Verschlüsselungsfunktion ermöglichen.
Behoben werden ausserdem über 50 Schwachstellen, die eine Rechteausweitung (Elevation of Privilege) ermöglichen. Angreifende könnten damit administrative Rechte oder System-Level-Zugriffe erlangen.
Microsoft hat zudem Patches für mehrere Sicherheitsfunktionen, Spoofing-Szenarien, Informationslecks und Denial-of-Service-Angriffe bereitgestellt. Einige Patches – insbesondere in Azure- und SQL-Komponenten – erfordern manuelle Updates durch die Nutzerinnen und Nutzer. Weitere Informationen finden sich übersichtlich aufbereitet auf der Website der Zero Day Initiative. (mw)
Weitere Artikel zum Thema
Juni-Patchday stört DHCP-Dienst in Windows Server
17. Juni 2025 - Nach der Installation der Updates von Microsofts Juni-Patchday auf Windows Server Systemen versagt der integrierte DHCP Server intermittierend den Dienst. Microsoft arbeitet an einem Fix, es ist jedoch nicht klar, wann dieser erscheint.Microsoft-Patchday sorgt bei Gamern für Bluescreen
12. Juni 2025 - Ein Update das im Rahmen des Patchday ausgespielt wurde, sorgte bei PCs mit installierten Games für Abstürze. Grund war ein Kompatibilitätsproblem mit einem Service, der das Cheaten bei Games unterbinden soll.Juni-Patchday bringt diverse neue Features für Windows 11
12. Juni 2025 - Der Juni-Patchday bringt einige neue Funktionen für Windows 11, viele natürlich in Zusammenhang mit Copilot. Ausserdem wurden 70 Sicherheitslücken eliminiert.Artikel kommentieren
