[English]Microsoft hat am 8. Juli 2025 Sicherheitsupdates für Windows-Clients und -Server, für Office – sowie für weitere Produkte – veröffentlicht. Die Sicherheitsupdates beseitigen 128 Schwachstellen (CVEs), eine davon wurde als 0-day klassifiziert. Nachfolgend findet sich ein kompakter Überblick über diese Updates, die zum Patchday freigegeben wurden.
Hinweise zu den Updates
Eine Liste der Updates finden Sie auf dieser Microsoft-Seite. Details zu den Update-Paketen für Windows, Office etc. sind in separaten Blogbeiträgen verfügbar.
Windows 10/11, Windows Server
Alle Windows 10/11-Updates (sowie die Updates der Server-Pendants) sind kumulativ. Das monatliche Patchday-Update enthält alle Sicherheitsfixes für diese Windows-Versionen – sowie alle nicht sicherheitsbezogenen Fixes bis zum Patchday. Zusätzlich zu den Sicherheitspatches für die Schwachstellen enthalten die Updates auch Fixes zur Behebung von Fehlern oder Neuerungen.
Windows Server 2012 R2
Für Windows Server 2012 /R2 ist eine ESU-Lizenz zum Bezug weiterer Sicherheitsupdates erforderlich (Windows Server 2012/R2 bekommt Extended Sicherheitsupdates (ESU) bis Oktober 2026).
Gefixte Schwachstellen
Bei Tenable gibt es diesen Blog-Beitrag mit einer Übersicht der gefixten Schwachstellen. Hier einige der kritischen Schwachstellen, die beseitigt wurden:
- CVE-2025-49719: Microsoft SQL Server Information Disclosure-Schwachstelle, CVEv3 Score 7.5, important; Ein nicht authentifizierter Angreifer könnte diese Sicherheitslücke ausnutzen, um nicht initialisierten Speicher zu erhalten. Gemäß dem Exploitability Index von Microsoft wird sie als "Exploitation Less Likely" eingestuft. Die Schwachstelle wurde wurde öffentlich bekannt, bevor Patches verfügbar waren. Benutzern von SQL Server wird empfohlen, auf die neueste Version zu aktualisieren, die auch Treiberkorrekturen enthält. Wenn Benutzer ihre eigenen Anwendungen oder Software eines anderen Herstellers verwenden, die SQL Server nutzt, wird empfohlen, auf Microsoft OLE DB Driver for SQL Server Version 18 oder 19 zu aktualisieren. Wichtig ist vor der Aktualisierung die Kompatibilität sicherzustellen. Weitere Informationen zu General Distribution Release (GDR) oder Cumulative Update (CU) Versionen finden sich im Advisory.
- CVE-2025-47981: SPNEGO Extended Negotiation (NEGOEX) Security Mechanism Remote Code Execution-Schwachstelle, CVEv3 Score 9.8, critical; "Exploitation More Likely"; Ein nicht authentifizierter, entfernter Angreifer könnte diese Schwachstelle ausnutzen, indem er eine speziell gestaltete Nachricht an einen verwundbaren Server sendet. Bei erfolgreicher Ausnutzung könnte ein Angreifer RCE-Rechte erhalten. Microsoft gibt an, dass diese Sicherheitsanfälligkeit nur Windows 10 Version 1607 und höher betrifft, da ein bestimmtes Gruppenrichtlinienobjekt (GPO) in diesen Versionen standardmäßig aktiviert ist: Network security: Allow PKU2U authentication requests to this computer to use online identities. Ergänzung: Siehe auch meinen Blog-Beitrag Windows: Kritische NEGOEX-Schwachstelle CVE-2025-47981 zeitnah patchen.
- CVE-2025-49701 und CVE-2025-49704: Microsoft SharePoint Remote Code Execution-Schwachstelle, CVEv3 Score 8.8, critical und important; Um diese Schwachstellen auszunutzen, muss sich ein Angreifer mindestens mit den Rechten eines Site Owners authentifizieren. Sobald er authentifiziert ist, könnte ein Angreifer beliebigen Code in einen anfälligen SharePoint Server schreiben, um RCE zu erlangen.
- CVE-2025-49735: Windows KDC Proxy Service (KPSSVC) Remote Code Execution-Schwachstelle, CVEv3 Score 8.1, critical; Der Windows Kerberos Key Distribution Center (KDC) Proxy-Dienst ist ein Authentifizierungsmechanismus, der für KDC-Server über HTTPS verwendet wird. Ein nicht authentifizierter Angreifer könnte diese Schwachstelle ausnutzen, indem er eine manipulierte Anwendung verwendet, um eine kryptographische Protokollschwachstelle auszunutzen, um beliebigen Code auszuführen. Laut dem Advisory sind nur Windows Server betroffen, die "[MS-KKDCP]: Kerberos Key Distribution Center (KDC) Proxy Protocol" konfiguriert wurden. Obwohl in dem Advisory erwähnt wird, dass der Angreifer eine Race Condition ausnutzen muss, wurde die Schwachstelle dennoch als „Exploitation More Likely" eingestuft.
- CVE-2025-49724: Windows Connected Devices Platform Service Remote Code Execution-Schwachstelle, CVEv3 Score 8.8, important; Ein nicht authentifizierter, entfernter Angreifer kann diese Schwachstelle ausnutzen, indem er speziell gestaltete Datenpakete an ein System sendet, auf dem die Funktion "Nearby Sharing" aktiviert ist. Im Microsoft-Hinweis wird darauf hingewiesen, dass die Funktion "Nearby Sharing" standardmäßig nicht aktiviert ist.
- CVE-2025-49695, CVE-2025-49696, CVE-2025-49697, CVE-2025-49698, CVE-2025-49702 und CVE-2025-49703: Microsoft Office und Microsoft Word Remote Code Execution-Schwachstellen, CVEv3 Score 8.4, critical; diverse Schwachstellenmechanismen; Ausnutzung ist "less likely".
- CVE-2025-48822: Windows Hyper-V Discrete Device Assignment (DDA) Remote Code Execution-Schwachstelle, CVEv3 Score 8.6, critical; Out-of-Bounds-Read in Hyper-V, der es einem nicht autorisierten Angreifer ermöglichen könnte, Code lokal auszuführen. Microsoft schätzt die Komplexität des Angriffs als „gering" ein, und eine Ausnutzung ist "less likely".
- CVE-2025-48799: Windows Update Service Elevation of Privilege-Schwachstelle, CVEv3.1, Score 7.8, important; Ein Angreifer, der diese Sicherheitslücke erfolgreich ausnutzt, kann Dateien im Sicherheitskontext des Kontos „NT AUTHORITY\SYSTEM" erstellen, ändern oder löschen. Microsoft schätzt eine Ausnutzung des Angriffs als „eher wahrscheinlich" ein.
Eine Liste aller aufgedeckten CVEs finden Sie auf dieser Microsoft-Seite, Auszüge sind bei Tenable und Talos abrufbar.
Achtung: Der WSUS scheint seit der Nacht (9.7.2025) Synchronisationsprobleme zu haben – siehe WSUS hat Synchronisationsprobleme (9. Juli 2025).
Ähnliche Artikel:
Microsoft Security Update Summary (8. Juli 2025)
Patchday: Windows 10/11 Updates (8. Juli 2025)
Patchday: Windows Server-Updates (8. Juli 2025)
Patchday: Microsoft Office Updates (8. Juli 2025)
Windows: Kritische NEGOEX-Schwachstelle CVE-2025-47981 zeitnah patchen
Windows 10/11: Preview Updates 24. /26. Juni 2025
Windows 11 24H2: Azure Virtual Desktop (AVD) App-Attach scheitert
Windows 11 24H2 Juni 2025-Update-Probleme: KB5060842 mit falschem Zeitstempel und Print to PDF
Update KB5060829 triggert Firewall-Events
WSUS hat Synchronisationsprobleme (9. Juli 2025)
MVP: 2013 – 2016
Zu der Sharepoint-Lücke heißt es bei ZDI:
CVE-2025-49704 – Microsoft SharePoint Remote Code Execution Vulnerability
This bug originates from Pwn2Own Berlin and was used as a part of a chain by the Viettel Cyber Security team to exploit SharePoint and win $100,000. This particular bug allowed code injection over the network. On its own, it requires some level of authentication. However, at the contest, the team paired it with an authentication bypass bug to evade this requirement. Their demonstration shows how authentication alone cannot be trusted to protect from attacks.
Jetzt wäre interessant, was ist das für ein authentication bypass bug und wurde der auch gefixt?
Hallo zusammen
CVE-2025-47981 scheint ja übel zu sein, auf Golem gibts auch eine Beschreibung dazu:
https://www.golem.de/news/ohne-nutzerinteraktion-kritische-windows-luecke-ermoeglicht-automatisierte-angriffe-2507-197898.html
Gemäss MS kann sollte das umstellen der GPO nur im Zusammenhang mit Entra hybrid Domänen zu Nebenwirkungen führen.
Hat da jemand den Durchblick oder schon umgestellt?
Grüsse Mario
Da ich bei einem Windows 10 Pro Notebook noch nicht sofort patchen kann/will
habe ich den GPO Wert umgestellt und keine Probleme bisher beobachten können.
Du findest es in den Gruppenrichtlinien ( gpedit.msc in der Kommandozeile eingeben ) unter:
Computerkonfiguration – Windows-Einstellungen – Lokale Richtlinien –
Sicherheitsoptionen und hier der Punkt Netzwerksicherheit – lässt an diesen
Computer gerichtete PKU2U Authentifizierungsanfragen zu ….
War bei mir auf "Nicht definiert". Wenn man es anklickt, kann man es aktivieren
und deaktivieren. Ich habe es jetzt deaktiviert und wenn der Patch eingespielt ist,
aktiviere ich wieder.
Wie ist denn der Text bei Golem genau zu lesen?
" Auf Windows-Clients besteht das Risiko demnach nur, weil die GPO "Netzwerksicherheit: PKU2U-Authentifizierungsanfragen an diesen Computer zur Verwendung von Online-Identitäten zulassen" standardmäßig aktiviert sei. Sie zu deaktivieren, dürfte also vor möglichen Angriffen schützen."
Auf einem Windows 10 Rechner Standalone ohne AD ohne Cloud oder sonst was steht diese Richtlinie auf "Nicht definiert". Interpretiert Windows das jetzt als "aktiv" oder "inaktiv"? Sobald eine AD ins Spiel kommt wird es interessanter, weil so wie ich das lese in einer AD der Default = "deaktiviert" bei Servern ist und auf Clients wieder "Nicht definiert". Also unter welchem Umständen schaltet sich das auf "aktiviert" nur in einer Hybrid-Stellung oder Standalone Clients mit "Online-Konto"?
Und ist "Nicht definiert" = "aktiv" oder nicht? Ich würde denken "Nicht definiert" = "inaktiv"?
Gruß Olli
"Nicht konfiguriert" bedeutet
a) auf normalem Windows-Desktop und auf Netzwerk-Client "aktiv" (dort muss man die GPO also ausdrücklich deaktivieren)
b) auf Server "disabled"
Zitat:
"This policy is enabled by default in Windows 10, Version 1607, and later."
"PKU2U is disabled by default on Windows Server."
learn. microsoft. com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/network-security-allow-pku2u-authentication-requests-to-this-computer-to-use-online-identities
Danke!
Genauer:
"Nicht konfiguriert" heißt:
– Auf Servern und auf Clients mit Windows 7, 8, 8.1 und 10 1507 "deaktiviert"
– Auf Clients mit Windows 10 ab 1607 und Windows 11 heißt es "aktiviert"
egal ob die Clients in einer Domaine sind oder nicht? Man kann das finde ich auch so lesen, dass hier nochmal unterschieden wird?
Richtlinie unter,
'Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen',
'Netzwerksicherheit: Die Verwendung von Onlineidentitäten bei PKU2U-Authentifizierungsanforderungen auf diesem Computer zulassen'
'Nicht definiert' ist gleich 'Deaktiviert'.
'Nicht definiert' ist der Standard bei Win10.
'Deaktiviert' ist der Standard bei Server und DC.
Ist Windows 10 ab Version 1607 in einer Domäne, ist der Standard 'Aktiviert'.
Selten so viele CVEs in einer relativ kleinen – aber beliebten – Software gesehen… Und alle mit 7.8 bewertet.
CVE-2025-7234, CVE-2025-7237, CVE-2025-7238, CVE-2025-7239, CVE-2025-7244, CVE-2025-7246, CVE-2025-7247, CVE-2025-7248, CVE-2025-7254, CVE-2025-7255, CVE-2025-7256, CVE-2025-7257, CVE-2025-7258, CVE-2025-7260, CVE-2025-7261, CVE-2025-7262, CVE-2025-7263, CVE-2025-7264, CVE-2025-7265, CVE-2025-7266, CVE-2025-7267, CVE-2025-7268, CVE-2025-7269, CVE-2025-7270, CVE-2025-7271, CVE-2025-7272, CVE-2025-7273, CVE-2025-7274, CVE-2025-7275, CVE-2025-7276, CVE-2025-7277, CVE-2025-7278, CVE-2025-7279, CVE-2025-7280, CVE-2025-7281, CVE-2025-7282, CVE-2025-7283, CVE-2025-7284, CVE-2025-7285, CVE-2025-7286, CVE-2025-7287, CVE-2025-7288, CVE-2025-7289, CVE-2025-7290, CVE-2025-7291, CVE-2025-7292, CVE-2025-7293, CVE-2025-7294, CVE-2025-7295, CVE-2025-7296, CVE-2025-7297, CVE-2025-7298, CVE-2025-7299, CVE-2025-7300, CVE-2025-7301, CVE-2025-7302, CVE-2025-7303, CVE-2025-7304, CVE-2025-7305, CVE-2025-7306, CVE-2025-7307, CVE-2025-7308, CVE-2025-7309, CVE-2025-7310, CVE-2025-7311, CVE-2025-7312, CVE-2025-7313, CVE-2025-7314, CVE-2025-7315, CVE-2025-7316, CVE-2025-7317, CVE-2025-7318, CVE-2025-7319, CVE-2025-7320, CVE-2025-7321, CVE-2025-7322, CVE-2025-7323, CVE-2025-7324, CVE-2025-7325
Alles Irfanview 4.72, alle Lücken stecken in den separat zu installierenden Plugins, die man mit Invenatrisierung nicht separat zu fassen bekommt, weil sie vom Installer einfach nur ins Programmverzeichnis geschrieben werden. Wichtig, die Versionen des Hauptprogramms und der Plugins müssen übereinstimmen.
Ich werde den Irfan mal anschreiben, ob er das nicht ändern können, dass es kein separates Plugin-Paket mehr gibt, sondern Programm und Plugins mit einem Installer installiert werden können. Das macht eigentlich so keinen Sinn, denn erst mit den Plugins, mit denen Irfanview hunderte Bild-Dateiformate lesen und scheiben kann, erreicht das Programm seine Stärke.