close notice<\/p>\n
\n This article is also available in It was translated with technical assistance and editorially reviewed before publication.\n <\/p>\n \n Don\u2019t show this again.\n<\/p>\n Microsoft schlie\u00dft mehrere Sicherheitsl\u00fccken in seinem Softwareportfolio. Davon stuft der Hard- und Softwareentwickler mehrere Schwachstellen als „kritisch<\/strong>“ ein. In vielen F\u00e4llen kann Schadcode Computer vollst\u00e4ndig kompromittieren.<\/p>\n Verschiedene Gefahren<\/p>\n Eine L\u00fccke (CVE-2025-49719 „hoch<\/strong>„) in Microsoft SQL Server ist \u00f6ffentlich bekannt und es k\u00f6nnen Angriffe bevorstehen. Daran k\u00f6nnen der Beschreibung der Schwachstelle zufolge Angreifer ohne Authentifizierung ansetzen, um \u00fcber ein Netzwerk auf eigentlich abgeschottete Informationen zuzugreifen. Die dagegen gesch\u00fctzten Versionen sind in einem Beitrag aufgelistet<\/a>.<\/p>\n Mehrere Schadcodel\u00fccken, die Angreifer aus der Ferne ausnutzen k\u00f6nnen sollen, stuft Microsoft als „kritisch<\/strong>“ ein, auch wenn die CVE-Einstufung niedriger ist. Davon sind unter anderem Office (etwa CVE-2025-49695<\/a> „hoch<\/strong>„), SharePoint (CVE-2025-49704<\/a> „hoch<\/strong>„) und Hyper-V (CVE-2025-48822<\/a> „hoch<\/strong>„) betroffen. Die Office-Sicherheitsupdates sind aber Microsoft zufolge bisher nicht komplett verf\u00fcgbar. Sie sollen aber so schnell wie m\u00f6glich folgen.<\/p>\n Die genannte SharePoint-L\u00fccke haben Sicherheitsforscher w\u00e4hrend des Hacker-Wettbewerbs Pwn2Own in Berlin entdeckt. Daf\u00fcr haben sie eine Pr\u00e4mie von 100.000 US-Dollar kassiert.\u00a0<\/a><\/p>\n \u00dcberdies k\u00f6nnen Angreifer noch an Softwareschwachstellen in unter anderem BitLocker, Edge und verschiedenen Windows-Komponenten wie dem Kernel ansetzen. An diesen Stellen k\u00f6nnen sie sich etwa h\u00f6here Nutzerrechte aneignen oder Dienste via DoS-Attacke abst\u00fcrzen lassen.<\/p>\n Reparaturen und erweiterter Schutz<\/p>\n Mit den aktuellen Updates reparieren die Entwickler einen Firewall-Fehler und die Update-Vorschau<\/a>, die durch den Patchday im Juni<\/a> kaputtgegangen sind. Zus\u00e4tzlich hat Microsoft das im Zuge der April-Updates<\/a> demolierte Windows-Recovery-Enviroment-Update unter Windows 10 und Server 2022 wieder zum Laufen gebracht.<\/p>\n Au\u00dferdem wurde die Kerberos-Authentifizierung geh\u00e4rtet<\/a>. Seit 8. Juli 2025 gelten standardm\u00e4\u00dfig nur noch Zertifikate als vertrauensw\u00fcrdig, die von Zertifikatsausstellern signiert wurden, die Teil des NTAuth-Speichers sind. Bis 14. Oktober 2025 k\u00f6nnen Admins das \u00fcber den Registryeintrag AllowNtAuthBypass noch umgehen. Ab dem zuletzt genannten Datum geht das dann nicht mehr.<\/p>\n Weitergehende Informationen zu allen an diesem Patchday geschlossenen L\u00fccken listet Microsoft im Security Update Guide<\/a> auf.<\/p>\n
\n English<\/a>.<\/p>\n