Microsoft Security Update Summary (12. August 2025)

[English]Microsoft hat am 12. August 2025 Sicherheitsupdates für Windows-Clients und -Server, für Office – sowie für weitere Produkte  – veröffentlicht. Die Sicherheitsupdates beseitigen 107  Schwachstellen (CVEs), eine davon wurde als 0-day klassifiziert und war öffentlich bekannt. Nachfolgend findet sich ein kompakter Überblick über diese Updates, die zum Patchday freigegeben wurden.

Hinweise zu den Updates

Eine Liste der Updates finden Sie auf dieser Microsoft-Seite. Details zu den Update-Paketen für Windows, Office etc. sind in separaten Blogbeiträgen verfügbar.

Windows 10/11, Windows Server

Alle Windows 10/11-Updates (sowie die Updates der Server-Pendants) sind kumulativ. Das monatliche Patchday-Update enthält alle Sicherheitsfixes für diese Windows-Versionen – sowie alle nicht sicherheitsbezogenen Fixes bis zum Patchday. Zusätzlich zu den Sicherheitspatches für die Schwachstellen enthalten die Updates auch Fixes zur Behebung von Fehlern oder Neuerungen.

Windows Server 2012 R2

Für Windows Server 2012 /R2 ist eine ESU-Lizenz zum Bezug weiterer Sicherheitsupdates erforderlich (Windows Server 2012/R2 bekommt Extended Sicherheitsupdates (ESU) bis Oktober 2026).

Gefixte Schwachstellen

Bei Tenable gibt es diesen Blog-Beitrag mit einer Übersicht der gefixten Schwachstellen. Hier einige der kritischen Schwachstellen, die beseitigt wurden:

• CVE-2025-53779: Windows Kerberos Elevation of Privilege-Schwachstelle, CVEv3 Score 7.2, moderat; Ein authentifizierter Angreifer mit Zugriff auf ein Benutzerkonto mit bestimmten Berechtigungen im Active Directory (AD) und mindestens einem Domänencontroller in der Domäne, auf dem Windows Server 2025 ausgeführt wird, könnte diese Sicherheitslücke ausnutzen, um vollständige Domänen- und anschließend Forest-Kompromittierung in einer AD-Umgebung zu erreichen. Dies ist ein Patch für eine Zero-Day-Sicherheitslücke, die von Akamai Sicherheitsforscher Yuval Gordon, einem Sicherheitsforscher bei, als BadSuccessor" bezeichnet wurde. Sie wurde am 21. Mai bekannt gegeben. Weitere Informationen zu BadSuccessor finden sich in der FAQ-Blog Häufig gestellte Fragen zu BadSuccessor".
• CVE-2025-49712: Microsoft SharePoint Remote Code Execution-Schwachstelle, CVEv3 Score 8.8, important; "Exploitation More Likely"; Ein Angreifer müsste mindestens über die Berechtigungen eines Websitebesitzers verfügen. Nach der Authentifizierung könnte ein Angreifer entweder beliebigen Code schreiben oder eine Code-Injektion verwenden, um Code auf einem anfälligen SharePoint-Server auszuführen und so RCE zu erlangen.
• CVE-2025-53778: Windows NTLM Elevation of Privilege-Schwachstelle, CVEv3 Score 8.8, critical; "Exploitation More Likely"; Eine EoP-Sicherheitslücke, die Windows New Technology LAN Manager (NTLM) betrifft. Laut der Sicherheitsempfehlung würde eine erfolgreiche Ausnutzung es einem Angreifer ermöglichen, seine Berechtigungen auf SYSTEM zu erhöhen.
• CVE-2025-50177, CVE-2025-53143, CVE-2025-53144 und CVE-2025-53145: Microsoft Message Queuing (MSMQ) Remote Code Execution-Schwachstelle, CVEv3 Score 8.1-8.8, critical; Um diese CVEs auszunutzen, müsste ein Angreifer ein speziell gestaltetes MSMQ-Paket an einen anfälligen Server senden, um die Ausführung von Code zu erreichen.

Eine Liste aller aufgedeckten CVEs finden Sie auf dieser Microsoft-Seite, Auszüge sind bei Tenable abrufbar. Bei Talos sind einige zusätzliche Schwachstellen in Word etc. abrufbar.

Ähnliche Artikel:
Microsoft Security Update Summary (12. August 2025)
Patchday: Windows 10/11 Updates (12. August 2025)
Patchday: Windows Server-Updates (12. August 2025)
Patchday: Microsoft Office Updates (12. August 2025)