Microsoft Security Update Summary (13. Mai 2025)

Publiziert am 13. Mai 2025 von Günter Born

Update[English]Microsoft hat am 13. Mai Sicherheitsupdates für Windows-Clients und -Server, für Office – sowie für weitere Produkte  – veröffentlicht. Die Sicherheitsupdates beseitigen 71 Schwachstellen (CVEs), sieben davon wurden als 0-day klassifiziert. Fünf Schwachstellen wurde bereits angegriffen. Nachfolgend findet sich ein kompakter Überblick über diese Updates, die zum Patchday freigegeben wurden.

Anzeige

Hinweise zu den Updates

Eine Liste der Updates finden Sie auf dieser Microsoft-Seite. Details zu den Update-Paketen für Windows, Office etc. sind in separaten Blogbeiträgen verfügbar.

Windows 10/11, Windows Server

Alle Windows 10/11-Updates (sowie die Updates der Server-Pendants) sind kumulativ. Das monatliche Patchday-Update enthält alle Sicherheitsfixes für diese Windows-Versionen – sowie alle nicht sicherheitsbezogenen Fixes bis zum Patchday. Zusätzlich zu den Sicherheitspatches für die Schwachstellen enthalten die Updates auch Fixes zur Behebung von Fehlern oder Neuerungen.

Windows Server 2012 R2

Für Windows Server 2012 /R2 ist eine ESU-Lizenz zum Bezug weiterer Sicherheitsupdates erforderlich (Windows Server 2012/R2 bekommt Extended Sicherheitsupdates (ESU) bis Oktober 2026).

Gefixte Schwachstellen

Bei Tenable gibt es diesen Blog-Beitrag mit einer Übersicht der gefixten Schwachstellen. Hier einige der kritischen Schwachstellen, die beseitigt wurden:

Anzeige
  • CVE-2025-30385, CVE-2025-32701 und CVE-2025-32706: Windows Common Log File System Driver Elevation of Privilege-Schwachstellen, CVEv3 Score 7.8,  important; Ein Angreifer kann Privilegien lokal erhöhen und das System zum Absturz bringen. Sowohl CVE-2025-32701 als auch CVE-2025-32706 wurden in freier Wildbahn als Zero-Days ausgenutzt, während CVE-2025-30385 laut Microsofts Exploitability Index als „Exploitation More Likely" bewertet wird.
  • CVE-2025-30400: Microsoft DWM Core Library Elevation of Privilege-Schwachstelle, CVEv3 Score 7.8, important; Eine erfolgreiche Ausnutzung würde es einem Angreifer ermöglichen, seine Privilegien zu erhöhen, indem er eine Use-After-Free-Schwachstelle ausnutzt. Microsoft weist darauf hin, dass es sich um eine Zero-Day-Schwachstelle handelt.
  • CVE-2025-30397: Scripting Engine Memory Corruption-Schwachstelle, CVEv3 Score 7.5, important; es ist eine Speicherkorruptionsschwachstelle in der Microsoft Scripting Engine, die ausgenutzt werden kann, um die Ausführung von beliebigem Code auf einem Zielcomputer zu erreichen. Die Komplexität des Angriffs wird als hoch eingestuft, und Microsoft weist darauf hin, dass das Ziel zuerst Microsoft Edge im Internet Explorer-Modus ausführen muss. Um die Schwachstelle erfolgreich auszunutzen, muss der Benutzer auf eine manipulierte URL klicken. Diese Sicherheitslücke wurde Berichten zufolge in freier Wildbahn als Zero-Day ausgenutzt.
  • CVE-2025-26685: Microsoft Defender for Identity Spoofing-Schwachstelle, CVEv3 Score 6.5, important; Diese Sicherheitslücke ermöglicht es einem nicht authentifizierten Angreifer mit Zugriff auf ein lokales Netzwerk (LAN), einen Spoofing-Angriff durchzuführen. Nach Angaben von Microsoft wurde diese Sicherheitslücke bekannt, bevor Patches zur Verfügung gestellt wurden.
  • CVE-2025-32709: Windows Ancillary Function Driver for WinSock Elevation of Privilege-Schwachstelle, CVEv3 Score 7.8, important; Ein authentifizierter Angreifer kann eine User-After-Free-Bedingung e ausnutzen, um seine Berechtigungen zum Administrator zu erhöhen. Die Schwachstelle wurde als 0-day in freier Wildbahn ausgenutzt.
  • CVE-2025-32702: Visual Studio Remote Code Execution-Schwachstelle, CVEv3 Score 7.8, important; Ein nicht authentifizierter lokaler Angreifer kann diese Schwachstelle ausnutzen, um Code auszuführen.

Eine Liste aller aufgedeckten CVEs finden Sie auf dieser Microsoft-Seite, Auszüge sind bei Tenable abrufbar.

Ähnliche Artikel:
Microsoft Security Update Summary (13. Mai 2025)
Patchday: Windows 10/11 Updates (13. Mai 2025)
Patchday: Windows Server-Updates (13. Mai 2025)
Patchday: Microsoft Office Updates (13. Mai 2025)

Anzeige
Dieser Beitrag wurde unter Office, Sicherheit, Software, Update, Windows, Windows Server abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Microsoft Security Update Summary (13. Mai 2025)

  1. Herrn Robert Glöckner sagt:
    15. Mai 2025 um 10:38 Uhr

    Diesen Monat wurde auch wieder mal das MRT ausgeliefert – KB890830 Windows-Tool zum Entfernen bösartiger Software – und jetzt hatte ich schon den zweiten Fall, dass das hängenblieb mit 0% CPU. Einmal Win11 24H2 und einmal Win10 22H2.
    ich musste den Task beenden und dann taucht das Update auch nicht mehr auf.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.