Microsoft hat am 11. November 2025 Sicherheitsupdates für Windows-Clients und -Server, für Office – sowie für weitere Produkte – veröffentlicht. Die Sicherheitsupdates beseitigen 63 Schwachstellen (CVEs), fünf kritisch, eine davon wurde als 0-day klassifiziert und wird ausgenutzt. Nachfolgend findet sich ein kompakter Überblick über diese Updates, die zum Patchday freigegeben wurden.
Hinweise zu den Updates
Eine Liste der Updates finden Sie auf dieser Microsoft-Seite. Details zu den Update-Paketen für Windows, Office etc. sind in separaten Blogbeiträgen verfügbar.
Windows 10/11, Windows Server
Alle Windows 10/11-Updates (sowie die Updates der Server-Pendants) sind kumulativ. Das monatliche Patchday-Update enthält alle Sicherheitsfixes für diese Windows-Versionen – sowie alle nicht sicherheitsbezogenen Fixes bis zum Patchday. Zusätzlich zu den Sicherheitspatches für die Schwachstellen enthalten die Updates auch Fixes zur Behebung von Fehlern oder Neuerungen.
Im Oktober 2025 erhielt Windows 10 22H2 letztmalig reguläre Sicherheitsupdates und ist aus dem Support gefallen. Sicherheitsupdates gibt es zukünftig nur noch für Nutzer einer ESU-Lizenz.
Mir liegt eine Lesermeldung vor, die angibt, für Windows 10 22H2 ein Sicherheitsupdate für Nov. 2025 bekommen zu haben, obwohl keine ESU-Lizenz beantragt wurde. Kann ich bisher an meinem Test-Notebook so nicht bestätigen, der bekam nur Defender-Updates.
Windows Server 2012 R2
Für Windows Server 2012 /R2 ist eine ESU-Lizenz zum Bezug weiterer Sicherheitsupdates erforderlich (Windows Server 2012/R2 bekommt Extended Sicherheitsupdates (ESU) bis Oktober 2026).
Gefixte Schwachstellen
Bei Tenable gibt es diesen Blog-Beitrag mit einer Übersicht der gefixten Schwachstellen. Hier einige der kritischen Schwachstellen, die beseitigt wurden:
- CVE-2025-62215: Windows Kernel Elevation of Privilege-Schwachstelle, CVEv3 Score 7.0, important; EoP-Schwachstelle im Windows-Kernel. Ein lokaler, authentifizierter Angreifer könnte diese Sicherheitslücke ausnutzen, indem er eine Race Condition gewinnt, um SYSTEM-Rechte zu erlangen. Laut Microsoft wurde diese Sicherheitslücke in freier Wildbahn als Zero-Day-Exploit ausgenutzt.
- CVE-2025-62199: Microsoft Office Remote Code Execution-Schwachstelle, CVEv3 Score 7.8, critical; Ein Angreifer könnte diese Schwachstelle durch Social Engineering ausnutzen, indem er die bösartige Microsoft Office-Dokumentdatei an ein bestimmtes Ziel sendet. Eine erfolgreiche Ausnutzung würde dem Angreifer Codeausführungsrechte gewähren. Die Ausnutzung wird als "weniger wahrscheinlich" eingestuft, aber Microsoft weist darauf hin, dass das Vorschaufenster ein Angriffsvektor ist, d.h. der Angreifer muss keine Datei zum Ausnutzen öffnen.
- CVE-2025-60719, CVE-2025-62213, CVE-2025-622174: Windows Ancillary Function Driver for WinSock Elevation of Privilege-Schwachstellen, CVEv3 Score 7.0, important; EoP-Schwachstellen, die den Ancillary Function Driver für WinSock für Microsoft Windows betreffen. Eine Ausnutzung wurde als "eher wahrscheinlich" bewertet. Ein lokaler, authentifizierter Angreifer könnte diese Schwachstellen ausnutzen, um sich SYSTEM-Rechte zu verschaffen.
- CVE-2025-60724: GDI+ Remote Code Execution-Schwachstelle, CVEv3 Score 9.8, critical; Eine RCE-Sicherheitslücke, die die Windows Graphics Device Interface (GDI) betrifft. Wurde als "Ausnutzung unwahrscheinlich" eingestuft. Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er ein Opfer dazu verleitet, eine manipulierte Datei herunterzuladen und zu öffnen, die einen heap-basierten Pufferüberlauf ausnutzen könnte, um beliebigen Code auszuführen.
Eine Liste aller aufgedeckten CVEs finden Sie auf dieser Microsoft-Seite, Auszüge sind bei Tenable abrufbar. Bei Talos sind einige zusätzliche Schwachstellen abrufbar (z.B. CVE‑2025‑60716, eine DirectX Graphics Kernel Elevation-Schwachstelle).
Ähnliche Artikel:
Microsoft Security Update Summary (11. November 2025)
Patchday: Windows 10/11 Updates (11. November 2025)
Patchday: Windows Server-Updates (11. November 2025)
Patchday: Microsoft Office Updates (11. November 2025)
Windows 10 22H2: Out-of-Band-Update KB5071959 (11. November 2025)
MVP: 2013 – 2016
Die ersten 2022er VMs bei uns sind durch, bislang keine Auffälligkeiten oder Probleme.
Hier auch keine Probleme mit den ersten 2022er und 2019er VMs.
Dito, bisher nur auf Blech installiert(u.a. Hyper-V Host), aber die 2022er liefen ohne Probleme durch.
zu „Mir liegt eine Lesermeldung vor, die angibt, für Windows 10 22H2 ein Sicherheitsupdate für Nov. 2025 bekommen zu haben, obwohl keine ESU-Lizenz beantragt wurde. Kann ich bisher an meinem Test-Notebook so nicht bestätigen, der bekam nur Defender-Updates.":
Es gibt ein Out of Band Update für Windows 10 22H2 (KB5071959) welcher Probleme mit der ESU Registrierung fixt. Das bekommt vermutlich jeder (oder alle ohne funktionierende ESU-Registrierung?). Der Betroffene kann Anhand der KB-Nummer prüfen was genau installiert wurde.
Quelle:
https://www.deskmodder.de/blog/2025/11/11/kb5071959-windows-10-22h2-out-of-band-update-fuer-probleme-mit-der-esu-registrierung/
Bei uns kam das KB5071959 nicht, ging direkt zum "richtigen" November-ESU. Wir hatten aber vor einer Wochen einen KIR angewendet welcher dann ESU richtig freigeschaltet hat.
Das Update KB5071959 bekommen alle. Relevant aber nur für die mit ESU-Lizenz.
Ohne ESU bekommt man KB5071959 und den alten KB5001716 nochmal eingespielt.
Das sind keine Sicherheitspatches, sondern berichtigen nur einen Fehler im ESU Enrollment. Zuvor konnten einige die ESUs überhaupt noch nicht aktivieren.
Die Namensgebung hat man für W10 anders als für W11 auch nicht geändert:
Mit ESU 10.0.19045.6575: 2025-11 Kumulatives Update für Windows 10 Version 22H2 für x64-basierte Systeme (KB5071982)
Ohne ESU 10.0.19045.6466: 2025-11 Kumulatives Update für Windows 10 Version 22H2 für x64-basierte Systeme (KB5071959)
Die beiden ungleichen Brüder haben also bis auf die KB-Nummer den völlig gleichen nichtssagenden Namen.
SQL Server 2016 bis 2022 erhalten diesen Monat auch Updates, bisher keine Probleme damit.
https://learn.microsoft.com/en-us/troubleshoot/sql/releases/download-and-install-latest-updates
Es gibt ja diesmal wohl keine ".Net Framework" Updates. Aber mal so in die Runde gefragt: Gilt .Net Framework unter W10 als eigenständiges Produkt oder braucht es dafür zukünftig auch den W10-ESU-Key?
Über WSUS kommen hier .net Updates 8 und 9 rein. Aber das eingebaute bekommt scheinbar kein Update.
NET Framework brauchte unter Windows 7 auch ESU.
Für Windows 10 sind mir keine Änderungen bekannt, also braucht man ebenfalls ESU für NET Framework.
Die NET Desktop Runtimes 5,6,7,8,9,10 hingegen funktionieren auch ohne ESU.
NET Framework Updates gab es am Patchday 11.11.20254 keine.
NET Desktop Runtime Updates gab es 8.0.22, 9.0.11 und 10.0.0.
Kleine Randnotiz für Exchange Nutzer: Microsoft hat sich entschlossen auch in Monaten OHNE Exchange Updates einen Blog Post zu veröffentlichen. So lässt sich zumindest Abschätzen, ob im jeweiligen Monat extra Arbeit auf einen wartet oder nicht :)
https://techcommunity.microsoft.com/blog/exchange/no-exchange-server-security-updates-for-november-2025/4468993
Es gibt im Nov. 2025 keine Exchange Updates – sonst hätte ich das in einem Beitrag thematisiert. Die Info "Keine Exchange Updates heute" wollte ich nicht im Blog einstellen ;-)