Am Patchday im Juli hat Microsoft knapp 140 Updates bereitgestellt. Davon sind zehn als kritisch eingestuft und eine Sicherheitslücke für Microsoft SQL Server ist bereits öffentlich bekannt.
Die gefährlichste Schwachstelle des Microsoft Patchdays im Juli 2025 ist CVE-2025-47981 in der SPNEGO-Erweiterung NEGOEX. Microsoft erwartet erste Attacken innerhalb von 30 Tagen.
(Bild: Dall-E / Vogel IT-Medien / KI-generiert)
Microsoft adressiert beim Patch Tuesday im Juli 2025 eine ungewöhnlich breite Angriffspalette. Die gefährlichste Sicherheitslücke ist CVE-2025-47981 mit einem CVSS Score von 9.8. Hierbei erlaubt es ein Heap-basierter Pufferüberlauf in der SPNEGO-Erweiterung NEGOEX nicht authentifizierten Angreifern die Ausführung beliebigen Codes über das Netzwerk. Die Komponente verarbeitet Sicherheitsverhandlungen auf GSSAPI-Basis und ist auf allen Windows-Versionen ab 10 Version 1607 standardmäßig aktiv. Ein einzelnes präpariertes Paket genügt, um ohne Benutzerinteraktion und ohne Authentifizierung beliebigen Code mit hohen Rechten auf dem Zielsystem auszuführen.
Die Schwachstelle gilt aufgrund der niedrigen Komplexität und der automatisierbaren Angriffsmöglichkeiten als wormable. Microsoft stuft die Ausnutzbarkeit als „wahrscheinlich“ ein, erste Attacken erwartet der Hersteller innerhalb von 30 Tagen. Besonders brisant ist die Kombination aus vollständigem Kontrollverlust, breiter Plattformbetroffenheit und der Tatsache, dass der Angriffsvektor vollständig netzwerkbasiert ist. Auch ältere Systeme wie Windows Server 2008 R2 bleiben verwundbar, sofern NEGOEX aktiv bleibt. Einzeldomänen, nicht segmentierte Netze oder veraltete Authentifizierungsmechanismen verstärken die Wirkung der Schwachstelle zusätzlich.
Wichtig ist bei diesem Patchday auch die Schwachstelle CVE-2025-49704 in SharePoint , die ursprünglich auf der Pwn2Own in Berlin demonstriert wurde. Dort kombinierte das vietnamesische Forscherteam eine Codeausführung mit einer Authentifizierungsumgehung und zeigte, dass klassische Schutzmechanismen schnell ins Leere laufen. Mit einem CVSS Score von 8.8 zählt die Schwachstelle zu den gefährlichsten im Webumfeld.
Auch Microsoft Office bleibt ein wiederkehrendes Risiko. Gleich vier Schwachstellen (CVE-2025-49695, CVE-2025-49696, CVE-2025-49697, CVE-2025-49702) nutzen erneut das Vorschaufenster als Einfallstor. Mac-Anwender bleiben weiterhin ohne Updates.
Die Tatsache, dass diese Angriffsform bereits den dritten Monat in Folge kritisch eingestuft wird, deutet auf strukturelle Schwächen oder unzureichende Patch-Qualität hin. Neben SharePoint und Office zählen auch SQL Server (CVE-2025-49717), SPNEGO (CVE-2025-47981), Hyper-V (CVE-2025-48822), Intune (CVE-2025-47178) und diverse Windows-Dienste zu den betroffenen Komponenten. Schwachstellen entfallen erneut auf die Routing- und RAS-Dienste (unter anderem CVE-2025-49688), auf BitLocker (zum Beispiel CVE-2025-48001) sowie auf Virtual Hard Disks (unter anderem CVE-2025-49683). Das Spektrum reicht von Informationslecks über Rechteausweitungen bis hin zu kritischen Remotecodeausführungen mit weitreichenden Folgen.
Die Sicherheislücke CVE-2025-49719 ist in allen aktuellen Versionen von Microsoft SQL Server offen und auch öffentlich bekannt. Ein fehlerhaftes Eingabevalidierungsverfahren in Microsoft SQL Server öffnet Angreifern die Tür zu uninitialisiertem Speicher. Die Schwachstelle erlaubt eine nicht authentifizierte Informationsoffenlegung über das Netzwerk und hat einen CVSS Score von 7.5. Angreifer benötigen weder Rechte noch Interaktion mit dem Zielsystem, was das Risiko weiter erhöht. Die Offenlegung erfolgte öffentlich, ein Exploit ist bislang nicht bekannt.
Betroffen sind unter anderem SQL Server 2022 ab CU19, SQL Server 2019 ab CU32 sowie ältere Versionen bis zurück zu SQL Server 2016. Auch SQL-Instanzen auf Azure-IaaS-Plattformen sind potenziell verwundbar. Die offengelegten Speicherbereiche können sensible Informationen enthalten, deren Preisgabe insbesondere in Mehrmandantenumgebungen oder bei eingebetteten Sicherheitsfunktionen zu Folgerisiken führt.
SQL Server: Pufferüberlauf ermöglicht Codeausführung auf dem Host
Ein Heap-basierter Pufferüberlauf in SQL Server erlaubt authentifizierten Angreifern, über speziell konstruierte Abfragen nicht nur Code innerhalb des SQL-Kontexts auszuführen, sondern auch aus der Datenbankumgebung auszubrechen und direkt auf dem Hostsystem zu operieren. Die Sicherheitslücke CVE-2025-49717 hat einen CVSS Score von 8.5. Die Schwachstelle betrifft Editionen ab SQL Server 2016 und lässt sich über das Netzwerk mit niedrigen Rechten auslösen, erfordert allerdings zusätzliche Vorbereitungsschritte. Der Angriff verändert den Scope und unterläuft damit das zugrundeliegende Sicherheitsmodell vollständig. Besonders kritisch: Systeme, die eigene oder Drittanbieteranwendungen mit OLE DB verwenden, benötigen eine Aktualisierung auf Version 18 oder 19 des Microsoft OLE DB-Treibers, um den Schutz wirksam umzusetzen. In komplexeren Umgebungen ist die Absicherung dadurch erschwert, da sie über die bloße Installation eines Sicherheitsupdates hinausgeht.
Seit vielen Jahren veröffentlichen wir regelmäßig Meldungen zum Microsoft Patchday. Wir würden gerne von Ihnen wissen, wie wir die Meldungen noch nützlicher für Ihre tägliche Arbeit machen können. Welche Infos wünschen Sie sich zusätzlich, was können wir übersichtlicher machen, was weglassen? Schreiben Sie uns eine E-Mail! Wir lesen jede Zuschrift, versprochen!
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/55/ff/55ff4d92656a4a7772ee51d40e338883/0129146028v2.jpeg "Die Staatlichen Kunstsammlungen Dresden sind ein Verbund von 15 Museen. Nach einem Cyberangriff am 21. Januar 2026 ist der Ticketverkauf eingeschränkt und (Bild: © tichr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/85/b5/85b5c69c5a6e6e5762a0c7c269261a43/0127916883v1.jpeg "Unternehmen haben ein Interesse daran, Angriffe zu stoppen, bevor sie passieren. Schließlich haben wir für böse Überraschungen keine Zeit. (Bild: © Dece Std - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e76917a2e60a68d35b91e24f2147/0128651087v2.jpeg "Für OT-Umgebungen wird es immer wichtiger, in verbesserte Erkennungssysteme und gezielte Investitionen in Sicherheitsmaßnahmen wie effektive Segmentierung und sicheren Fernzugriff zu investieren, um Cybervorfälle effektiv zu managen und Betriebsunterbrechungen zu minimieren. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/41/31/4131a45084a47e14cf5abac95b596231/0128075274v1.jpeg "Echtzeiteinblicke in aktive Netzwerkverbindungen: WhoIsConnectedSniffer und, oder wie in dem Fall hier, Sniffnet liefern Administoren eine präzise Übersicht über Geräte und Datenverkehr. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/74/a3/74a32ab50064418130cd1cd627ab666e/0128576134v1.jpeg "Extreme Herausforderungen, sicher gespeichert: Flexxon enthüllt X-Mask Pro, eine laut Hersteller zuverlässige Speicherlösung für kritische Industrien. (Bild: © Cedric - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:quality(80)/p7i.vogel.de/wcms/d9/41/d9410335aa54ea822dc98e0564a65219/0121658350v1.jpeg "Der Microsoft Patchday ist immer am zweiten Dienstag des Monats. (Bild: Sahir_Stock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/c2/6ec2d20bdbdabec3078fcaf1e80975f2/0112936548v3.jpeg "Mit kostenlosen Tools wie Windows Update Mini Tool und Co bekommen Admins mehr Kontrolle über Updates in Windows. (Bild: Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/f2/79f2142a91d72db0cdbfbb3d6a826ff0/0122447224v1.jpeg "Kostenpflichtiger Support für Windows 10 oder doch Windows 11? Aber welche Hardware wird dafür benötigt? Oder doch lieber ein ganz neues Betriebssystem? Diese und weitere Fragen sollten sich Nutzer möglichst bald stellen – wir liefern alle wichtigen Infos zum Support-Ende von Windows 10. (Bild: Dall-E / Vogel IT-Medien / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/37/93/3793a7342339bca13fb5facf8094fa8a/0122102974v1.jpeg "Für eine Sicherheitslücke, die alle Windows-Versionen ab Windows 7 und Server 2008 R2 betrifft, gibt es noch keinen Patch von Microsoft. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/79/e6/79e62fea0fa6c6893ab575977f19303f/0124982965v2.jpeg "Mit Einführung des Hotpatching für Windows 11 muss man einen PC nicht mehr (mindestens) 12x im Jahr neu starten, sondern nur noch 4x, im Rahmen der Installation der Baseline-Updates. (Bild: © Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/91/ed/91edba400b970f6d4935efa4b47a129e/0128319394v2.jpeg "Microsoft-Produkte wie Windows, Azure, Office, Dynamics Visual Studio und viele mehr werden ausgemustert oder werden auf erweiterten Support umgestellt oder erhalten gar keinen Support mehr. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/7f/247f7f029e7ab083d90fbe9e69476837/0121386472v2.jpeg "Windows Update ist langsam und unflexibel geworden. Mit den neuen Checkpoint Updates bekommen Windows 11 und Windows Server 2025 inkrementelle Aktualisierungen, die sich schneller installieren und besser verteilen lassen. (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/82/018289984cdde9776482195479784efd/0122024689v2.jpeg "Mit Windows Server 2025 hat Microsoft die Technik des „Hotpatching“ verbessert und in allen Editionen von Windows Server 2025 integriert. Zusammen mit Azure Arc bringt Microsoft Hotpatching ins lokale Rechenzentrum. (Bild: Pakin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/59/1c/591c3b317d4f85efd99e9aaf1d8284d4/0122470970v1.jpeg "Microsoft patcht im August 2025 kritische Sicherheitslücken unter anderem in Windows, Office und Serverdiensten. (Bild: Dall-E / Vogel IT-Medien / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/fb/ae/fbaea607dd3d430614b7a89ce5a94ac1/0122470970v1.jpeg "Beim Patchday im September sind Cyberangriffe mit Remote Code Execution und Elevation of Privilege die größten Risiken für Microsoft-Kunden. (Bild: Dall-E / Vogel IT-Medien / KI-generiert)")