Microsoft schließt mehrere Sicherheitslücken in seinem Softwareportfolio. Davon stuft der Hard- und Softwareentwickler mehrere Schwachstellen als "kritisch" ein. In vielen Fällen kann Schadcode Computer vollständig kompromittieren.
Eine Lücke (CVE-2025-49719 "hoch") in Microsoft SQL Server ist öffentlich bekannt und es können Angriffe bevorstehen. Daran können der Beschreibung der Schwachstelle zufolge Angreifer ohne Authentifizierung ansetzen, um über ein Netzwerk auf eigentlich abgeschottete Informationen zuzugreifen. Die dagegen geschützten Versionen sind in einem Beitrag aufgelistet.
Mehrere Schadcodelücken, die Angreifer aus der Ferne ausnutzen können sollen, stuft Microsoft als "kritisch" ein, auch wenn die CVE-Einstufung niedriger ist. Davon sind unter anderem Office (etwa CVE-2025-49695 "hoch"), SharePoint (CVE-2025-49704 "hoch") und Hyper-V (CVE-2025-48822 "hoch") betroffen. Die Office-Sicherheitsupdates sind aber Microsoft zufolge bisher nicht komplett verfügbar. Sie sollen aber so schnell wie möglich folgen.
Die genannte SharePoint-Lücke haben Sicherheitsforscher während des Hacker-Wettbewerbs Pwn2Own in Berlin entdeckt. Dafür haben sie eine Prämie von 100.000 US-Dollar kassiert.
Überdies können Angreifer noch an Softwareschwachstellen in unter anderem BitLocker, Edge und verschiedenen Windows-Komponenten wie dem Kernel ansetzen. An diesen Stellen können sie sich etwa höhere Nutzerrechte aneignen oder Dienste via DoS-Attacke abstürzen lassen.
Mit den aktuellen Updates reparieren die Entwickler einen Firewall-Fehler und die Update-Vorschau, die durch den Patchday im Juni kaputtgegangen sind. Zusätzlich hat Microsoft das im Zuge der April-Updates demolierte Windows-Recovery-Enviroment-Update unter Windows 10 und Server 2022 wieder zum Laufen gebracht.
Außerdem wurde die Kerberos-Authentifizierung gehärtet. Seit 8. Juli 2025 gelten standardmäßig nur noch Zertifikate als vertrauenswürdig, die von Zertifikatsausstellern signiert wurden, die Teil des NTAuth-Speichers sind. Bis 14. Oktober 2025 können Admins das über den Registryeintrag AllowNtAuthBypass noch umgehen. Ab dem zuletzt genannten Datum geht das dann nicht mehr.
Weitergehende Informationen zu allen an diesem Patchday geschlossenen Lücken listet Microsoft im Security Update Guide auf.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare