Zum März-Patchday hat Microsoft Korrekturen für insgesamt 57 CVE-Schwachstelleneinträge veröffentlicht. Fünf davon betreffen als kritisch eingestufte Lücken in Windows-Systemen; von weiteren 33 Windows-Schwachstellen mit hohem Schweregrad werden sechs bereits ausgenutzt. Weitere betroffene Produkte sind unter anderem Office, Edge, Visual Studio und einige Azure-Komponenten.
Anzeige
Wie gewohnt bietet Microsoft in seinem Security Response Center eine nach Produkt und Schweregrad filterbare Liste an; in den Release Notes für den März-Patchday listet Microsoft zudem alle 57 CVEs auf.
Die fünf kritischen Windows-Lücken wurden demnach bislang noch nicht ausgenutzt. CVE-2025-24035 und CVE-2025-24045 adressieren das Risiko einer Remotecodeausführung über den Windows-Remotedesktopdienst; Microsoft schätzt das Risiko einer Ausnutzung hier als wahrscheinlich ein.
Als weniger wahrscheinlich gelten die Lücken CVE-2025-26645 (Lücke im Remotedesktop-Client), CVE-2025-24084 (Gefahr einer Remotecodeausführung durch das Windows Subsystem für Linux 2) und CVE-2025-24064 (Lücke im Domain Name Service). Immerhin
Zusätzlich listet Microsoft allein für Windows-Systeme insgesamt 33 CVEs mit hohem Schweregrad (bei Microsoft auch "wichtig" genannt) auf. Sechs davon werden bereits ausgenutzt. So ermöglichen Lücken in den Dateisystemtreibern für FAT und NTFS Remotecodeausführung (CVE-2025-24985, CVE-2025-24993) und das Abgreifen vertraulicher Informationen (CVE-2025-24991, CVE-2025-24984).
Eine Privilege-Elevation-Lücke steckt im Win32 Kernel Subsystem und betrifft ältere Systeme (LTSC- und Server-Versionen bis 2016, CVE-2025-24983), eine Lücke in der Microsoft Management Console (MMC) ermöglicht die Umgehung von Sicherheitsfunktionen (CVE-2025-26633).
(