Microsoft schließt 172 Sicherheitslücken im Rekord-Update

Microsoft hat diese Woche eines der größten Sicherheitsupdates des Jahres veröffentlicht. Das Oktober-2025-Update schließt mindestens 172 Schwachstellen – darunter mehrere Zero-Day-Lücken, die bereits aktiv ausgenutzt werden.

Besonders brisant: Für die meisten Windows-10-Versionen ist dies das letzte kostenlose Sicherheitsupdate. Danach müssen Nutzer entweder auf Windows 11 wechseln oder kostenpflichtige Erweiterte Sicherheitsupdates (ESU) buchen. Das Update deckt ein breites Spektrum an Schwachstellen ab – von Remote Code Execution über Privilegienerweiterungen bis hin zu Denial-of-Service-Attacken.

Kritische Zero-Days bereits im Visier von Angreifern

Die größte Bedrohung geht von mehreren Zero-Day-Lücken aus, die Microsoft als bereits aktiv ausgenutzt bestätigt hat. An der Spitze steht CVE-2025-59230, eine Schwachstelle im Windows Remote Access Connection Manager (RasMan). Angreifer können über diese Lücke ihre Systemberechtigung erweitern und im schlimmsten Fall die vollständige Kontrolle übernehmen.

Ebenfalls kritisch: CVE-2025-24990 im Windows Agere Modem-Treiber. Diese Legacy-Komponente existiert auf allen Windows-Systemen – unabhängig von der Hardware. Microsofts radikale Lösung: Der anfällige Treiber (ltmdm64.sys) wird komplett aus Windows entfernt. Das eliminiert die Bedrohung, beendet aber auch den Support für abhängige Hardware.

Die US-Cybersicherheitsbehörde CISA hat beide Zero-Days bereits in ihren Katalog bekannter ausgenutzte Schwachstellen aufgenommen. Bundesbehörden müssen bis Anfang November 2025 patchen.

193 Schwachstellen im Gesamtpaket

Das Ausmaß des Updates ist beeindruckend: Inklusive der Chromium-basierten Edge-Browser-Updates zählen Experten bis zu 193 geschlossene Sicherheitslücken. Den größten Anteil bilden etwa 80 Privilegienerweiterungs-Schwachstellen, gefolgt von rund 31 Remote Code Execution-Lücken.

Besonders kritisch ist CVE-2025-59287 – ein Remote Code Execution-Bug im Windows Server Update Service (WSUS). Mit einem CVSS-Wert von 9,8 von 10 Punkten kann diese Schwachstelle ohne Authentifizierung ausgenutzt werden. Das macht sie zum idealen Ziel für Supply-Chain-Attacken. Weitere Hochrisiko-Lücken betreffen die Microsoft Graphics Component (CVE-2025-49708) und ASP.NET (CVE-2025-55315) mit CVSS-Werten von jeweils 9,9.

Windows 10: Das Ende einer Ära

Der Zeitpunkt des Updates ist kein Zufall. Millionen von Windows-10-Nutzern erhalten nach diesem Patch keine kostenlosen Sicherheitsupdates mehr. Das Betriebssystem erreicht das Ende seines Support-Zyklus. Wer weiterhin Sicherheitspatches erhalten möchte, muss handeln: Entweder der Wechsel zu Windows 11 oder die Buchung kostenpflichtiger Erweiterter Sicherheitsupdates.

Anzeige: Für alle, die wegen des Support-Endes von Windows 10 schnell wechseln müssen – deren PC aber als „inkompatibel“ gilt: Es gibt einen legalen Weg, Windows 11 trotzdem zu installieren. Ein kostenloser PDF-Report erklärt das Upgrade Schritt für Schritt – ohne neue Hardware und ohne Datenverlust, auch für Einsteiger verständlich. Sichern Sie sich die Anleitung und machen Sie Ihren Rechner in wenigen Minuten Windows-11-startklar. Jetzt kostenlosen PDF‑Report herunterladen

Diese Deadline setzt IT-Administratoren massiv unter Druck. Sie müssen nicht nur die aktuellen kritischen Patches einspielen, sondern auch ihre Migrationsstrategie finalisieren. Andernfalls bleiben Systeme schutzlos zurück.

Proaktive Sicherheit wird zur Überlebensfrage

Die Cybersicherheits-Community beobachtet die Lage mit Sorge. Die aktive Ausnutzung mehrerer Zero-Days vor Verfügbarkeit der Patches zeigt, wie aggressiv die aktuelle Bedrohungslage ist. Besonders das Beispiel des Agere-Modem-Treibers verdeutlicht: Alter Code birgt moderne Risiken.

Bundesbehörden haben bis zum 4. November 2025 Zeit, die kritischen Patches für die bekannten ausgenutzte Schwachstellen einzuspielen. Für private Organisationen ist dies eine dringende Empfehlung. Das Ende von Windows 10 wird voraussichtlich eine Phase erhöhter Risiken einläuten, da Angreifer gezielt nicht unterstütze Systeme ins Visier nehmen werden.

Dieses monumentale Patch-Release unterstreicht: Proaktives Patch-Management und eine durchdachte Betriebssystem-Migrationsstrategie bleiben die Grundpfeiler moderner Cybersicherheit.