Microsoft Security Update Summary (9. Dezember 2025)

Veröffentlicht am 9. Dezember 2025 von Günter Born

UpdateMicrosoft hat am 9. Dezember 2025 Sicherheitsupdates für Windows-Clients und -Server, für Office – sowie für weitere Produkte  – veröffentlicht. Die Sicherheitsupdates beseitigen 56 Schwachstellen (CVEs), eine davon wurde als 0-day klassifiziert und wird ausgenutzt. Nachfolgend findet sich ein kompakter Überblick über diese Updates, die zum Patchday freigegeben wurden.

Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)

Hinweise zu den Updates

Eine Liste der Updates finden Sie auf dieser Microsoft-Seite. Details zu den Update-Paketen für Windows, Office etc. sind in separaten Blogbeiträgen verfügbar.

Windows 10/11, Windows Server

Alle Windows 10/11-Updates (sowie die Updates der Server-Pendants) sind kumulativ. Das monatliche Patchday-Update enthält alle Sicherheitsfixes für diese Windows-Versionen – sowie alle nicht sicherheitsbezogenen Fixes bis zum Patchday. Zusätzlich zu den Sicherheitspatches für die Schwachstellen enthalten die Updates auch Fixes zur Behebung von Fehlern oder Neuerungen.

Im Oktober 2025 erhielt Windows 10 22H2 letztmalig reguläre Sicherheitsupdates und  ist aus dem Support gefallen. Sicherheitsupdates gibt es zukünftig nur noch für Nutzer einer ESU-Lizenz.

Windows Server 2012 R2

Für Windows Server 2012 /R2 ist eine ESU-Lizenz zum Bezug weiterer Sicherheitsupdates erforderlich (Windows Server 2012/R2 bekommt Extended Sicherheitsupdates (ESU) bis Oktober 2026).

Gefixte Schwachstellen

Bei Tenable gibt es diesen Blog-Beitrag mit einer Übersicht der gefixten Schwachstellen. Hier einige der kritischen Schwachstellen, die beseitigt wurden:

  • CVE-2025-62221: Windows Cloud Files Mini Filter Driver Elevation of Privilege-Schwachstelle, CVEv3 Score 7.8, important; Ein lokaler, authentifizierter Angreifer könnte diese Sicherheitslücke ausnutzen, um sich SYSTEM-Rechte zu verschaffen. Laut Microsoft wurde diese Sicherheitslücke in freier Wildbahn als Zero-Day-Exploit ausgenutzt.
  • CVE-2025-64671: GitHub Copilot for Jetbrains Remote Code Execution-Schwachstelle, CVEv3 Score 8.4, Important; Die als IDEsaster bezeichnete RCE-Sicherheitslücke befindet sich im GitHub Copilot-Plugin für integrierte Entwicklungsumgebungen (IDEs) von JetBrains. Die Ausnutzung wurde als unwahrscheinlich eingestuft. Das Problem beruht auf einer Sicherheitslücke durch Befehlsinjektion in GitHub Copilot (passt mal wieder, CoPilot reißt Sicherheitslücken). Ein Angreifer könnte entweder über einen MCP-Server oder über nicht vertrauenswürdige Dateien eine "böswillige Cross-Prompt-Injection" ausnutzen. Bei erfolgreicher Ausnutzung hätte ein Angreifer aufgrund der Einstellung "Auto-Approve" im Terminal die Möglichkeit, nicht genehmigte Befehle an bestehende zulässige Befehle anzuhängen.
  • CVE-2025-54100: PowerShell Remote Code Execution-Schwachstelle, CVEv3 Score 7.8, Important; Laut der Sicherheitsempfehlung wurde diese RCE öffentlich bekannt gegeben, bevor ein Patch verfügbar war. Die Sicherheitsempfehlung weist darauf hin, dass nach der Installation des Updates bei jeder Verwendung des Befehls „Invoke-WebRequest" eine Warnmeldung angezeigt wird.
  • CVE-2025-62458: Win32k Elevation of Privilege-Schwachstelle, CVEv3 Score 7.8, Important; EoP-Sicherheitslücke, die Microsofts Win32k betrifft, einen zentralen Kernel-Treiber, der in Windows verwendet wird. Die Ausnutzung ist eher wahrscheinlich. Die erfolgreiche Ausnutzung dieser Sicherheitslücke würde es einem Angreifer ermöglichen, SYSTEM-Rechte auf einem betroffenen Host zu erlangen.
  • CVE-2025-62554CVE-2025-62557: Microsoft Office Remote Code Execution-Schwachstellen, CVEv3 Score 8.4, Critical; Ein Angreifer könnte diese Schwachstellen durch Social Engineering ausnutzen, indem er die bösartige Microsoft Office-Dokumentdatei an ein bestimmtes Ziel sendet. Eine erfolgreiche Ausnutzung würde dem Angreifer Codeausführungsrechte gewähren. Obwohl die Ausnutzung als "weniger wahrscheinlich" eingestuft wird, weist Microsoft darauf hin, dass das Vorschaufenster ein Angriffsvektor für beide Sicherheitslücken ist, was bedeutet, dass das Ziel die Datei nicht öffnen muss, damit die Sicherheitslücke ausgenutzt werden kann. Laut den Sicherheitshinweisen von Microsoft sind Sicherheitsupdates für Microsoft Office LTSC für Mac noch nicht verfügbar und werden veröffentlicht, sobald sie fertig sind.

Eine Liste aller aufgedeckten CVEs finden Sie auf dieser Microsoft-Seite, Auszüge sind bei Tenable abrufbar.

Ähnliche Artikel:
Microsoft Security Update Summary (9. Dezember 2025)
Patchday: Windows 10/11 Updates (9. Dezember 2025)
Patchday: Windows Server-Updates (9. Dezember 2025)
Patchday: Microsoft Office Updates (9. Dezember 2025)

Dieser Beitrag wurde unter Office, Sicherheit, Software, Update, Windows, Windows 10, Windows Server abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.