Microsoft schließt im November 2025 insgesamt 63 Sicherheitslücken in Windows, Office, Azure und weiteren Produkten. Vier Schwachstellen sind kritisch, eine wird aktiv ausgenutzt. Erstmals erhalten auch Windows-10-Systeme im ESU-Programm vollständige Sicherheitsupdates.
Sicherheitslücke CVE-2025-60724 in GDI+ ist mit einem CVSS-Score von 9.8 die gefährlichste Schwachstelle des Microsoft Patchdays im November.
(Bild: Dall-E / Vogel IT-Medien / KI-generiert)
Microsoft veröffentlicht im November 2025 insgesamt 63 Sicherheitsupdates für Windows, Office, Edge, Azure, Dynamics 365, Hyper-V, SQL Server und das Windows Subsystem for Linux GUI. Vier Schwachstellen sind kritisch, 59 wichtig. Eine Sicherheitslücke wird aktiv ausgenutzt. Einschließlich der Chromium-Fixes ergibt sich eine Gesamtzahl von 68 CVEs. Damit steigt die Jahresbilanz der Microsoft Patchdays auf 1.084 geschlossene Schwachstellen. Der Monat markiert zugleich die Einbindung von Windows 10 in das Extended-Security-Update-Programm (ESU), wodurch erstmals seit dem Support-Ende wieder sicherheitsrelevante Patches für 22H2-Systeme erscheinen.
Für Windows-10-Version 22H2 gilt KB5068781, für Windows 11 sind die Builds KB5068861 (Version 24H2 und 25H2) und KB5068865 (Version 23H2) verfügbar. Das Servicing Stack Update KB5068070 verbessert die Zuverlässigkeit des Update-Stacks. Die Updates stehen über Windows Update, den Microsoft-Update-Katalog und WSUS bereit.
Der Patch enthält Korrekturen im HTTP.sys-Anfrageparser. Dieser hatte HTTP/1.1-Chunk-Erweiterungen fälschlich mit Einzellinebreak interpretiert, was bei bestimmten Reverse-Proxies zu Parsing-Abweichungen führen konnte. Microsoft behebt zudem Anzeigefehler im Windows-Update-Dialog von Windows 10, bei dem nach Installation früherer Builds fälschlich ein Servicing-Ende angezeigt wurde.
Die aktiv ausgenutzte Schwachstelle CVE-2025-62215 betrifft den Windows-Kernel und hat einen CVSS-Score von 7.0. Sie beschreibt eine Race-Condition, durch die ein Angreifer seine Rechte auf SYSTEM-Ebene ausweiten kann. Solche Fehler lassen sich mit anderen Schwachstellen kombinieren, um vollständige Kontrolle über das System zu erlangen.
Der Fehler im Common-Log-File-System-Treiber (CVE-2025-60709, CVSS 7.8) bleibt eine wiederkehrende Schwachstelle. Sie ermöglicht lokale Rechteausweitung bis SYSTEM. Der Routing and Remote Access Service (CVE-2025-60715, CVSS 8.0) enthält eine Remote-Code-Execution-Schwachstelle (RCE), die über das Netzwerk ausgenutzt werden kann. Beide Schwachstellen können Angriffe unterstützen, die aus einer anfänglichen Codeausführung eine dauerhafte Systemkompromittierung machen.
Mehrere Office-Schwachstellen, darunter CVE-2025-62199 und CVE-2025-62216, besitzen einen CVSS-Score von 7.8. Ein Angreifer kann durch präparierte Dokumente Code im Kontext des angemeldeten Benutzers ausführen. Das Vorschaufenster in Outlook und Explorer bleibt ein möglicher Angriffsvektor.
Die GDI+-Sicherheitslücke CVE-2025-60724 erreicht mit 9.8 den höchsten CVSS-Wert des Monats. Ein entfernter Angreifer kann manipulierte Metadaten in Bilddateien einbetten, die von Webdiensten, E-Mail-Gateways oder Dokumentenprozessen automatisch verarbeitet werden. Der Angriff erfolgt ohne Benutzerinteraktion.
Auch DirectX enthält eine sicherheitsrelevante Korrektur. CVE-2025-60716 ist als Elevation-of-Privilege-Schwachstelle in der DirectX-Grafikkomponente gelistet, nähere technische Details liegen nicht vor.
SQL Server, Configuration Manager und Azure Monitor Agent
CVE-2025-59499 mit CVSS 8.8 betrifft den SQL Server. Eine unsichere Eingabeprüfung ermöglicht SQL-Injection im Prozesskontext. Angreifer können dadurch administrative Rechte im Datenbankdienst übernehmen, sofern die Abfragen privilegiert ausgeführt werden. Configuration Manager erhält für die Schwachstelle CVE-2025-47179 (CVSS 6.7) ebenfalls ein Update. Eine fehlerhafte Rechteverwaltung in der Managementkonsole erlaubt es Angreifern mit lokalem Zugriff, Konfigurationsbefehle mit erweiterten Rechten auszuführen.
CVE-2025-59504 betrifft den Azure Monitor Agent (CVSS 7.3). Die Schwachstelle erlaubt Code-Ausführung über das Netzwerk ohne Authentifizierung. Da der Agent in zahlreichen hybriden Cloud-Umgebungen aktiv ist, besitzt die Sicherheitslücke ein hohes Risiko für Telemetrie- und Monitoring-Infrastrukturen.
OneDrive, Wireless Provisioning System und mobile Plattformen
CVE-2025-60722 betrifft OneDrive für Android und ermöglicht unautorisierten Zugriff auf Systemressourcen innerhalb des App-Kontexts. Die Schwachstellen CVE-2025-62218 und CVE-2025-62219 im Wireless Provisioning System führen zu Privilegieneskalation. Angreifer können so Code mit höheren Berechtigungen ausführen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Die Schwachstelle CVE-2025-62222 mit CVSS 8.8 betrifft Visual Studio Code in Verbindung mit Agentic AI. Ein Angreifer kann manipulierte Projektdateien oder GitHub-Repositories einsetzen, um beim Öffnen Code im Kontext des Entwicklers auszuführen.
CVE-2025-62214 betrifft Visual Studio und erlaubt Codeausführung durch Prompt Injection und Copilot-Agenteninteraktion während des Builds. Beide Schwächen zeigen die Verwundbarkeit generativer Entwicklungsumgebungen, in denen KI-generierter Code unzureichend geprüft wird.
Zwei Security Feature Bypass-Sicherheitslücken CVE-2025-62449 und CVE-2025-62453 in Copilot-Komponenten ermöglichen das Umgehen von Dateischutzmechanismen durch fehlerhafte Pfadvalidierung. Diese Fehler zeigen strukturelle Risiken bei der Verarbeitung KI-generierter Inhalte innerhalb der Entwicklungsumgebung.
Die Sicherheitslücken CVE-2025-62210 und CVE-2025-62211 betreffen Dynamics 365 Field Service Online und haben einen CVSS von 8.7. Sie beruhen auf Cross-Site-Scripting und erfordern manuelle Aktualisierung über das Power Platform Admin Center. CVE-2025-62206 in Dynamics 365 On-Premises führt zur Offenlegung vertraulicher Daten.
CVE-2025-62204 in SharePoint hat einen CVSS-Score von 8.0 und basiert auf einer Deserialisierungsfehlerkette. Angreifer mit gültigen Anmeldeinformationen können Codeausführung auf dem Server erreichen.
Mehrere Denial-of-Service-Schwachstellen (DoS) betreffen DirectX und Storvsp.sys. Zwei davon können von Hyper-V-Gästen ausgelöst werden, um den Host zu destabilisieren. Die technischen Details bleiben unklar, doch die Beschreibung weist auf mögliche Dienstunterbrechungen in virtualisierten Umgebungen hin. Betreiber von Hyper-V sollten diese Patches priorisieren.
Seit vielen Jahren veröffentlichen wir regelmäßig Meldungen zum Microsoft Patchday. Wir würden gerne von Ihnen wissen, wie wir die Meldungen noch nützlicher für Ihre tägliche Arbeit machen können. Welche Infos wünschen Sie sich zusätzlich, was können wir übersichtlicher machen, was weglassen? Schreiben Sie uns eine E-Mail! Wir lesen jede Zuschrift, versprochen!
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6c/dd/6cddbcf249f31748feae7096189632a2/0128612351v1.jpeg "Um die sich schnell ändernden Bedrohungen der KI-Technologie effektiv zu adressieren, sollten Unternehmen im Zuge einer aggressiven Cloud-Strategie ihre Sicherheitsvorkehrungen überdenken und konsolidieren. (Bild: © Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/69/4069a9f596e9cdf246bbe3be2ece1c72/0128896554v2.jpeg "Der WEF Global Cybersecurity Outlook 2026 zeigt, dass Unternehmen ihre Sicherheitsstrategien anpassen müssen, indem sie sich auf KI-bezogene Risiken konzentrieren, den Schutz kritischer Infrastrukturen stärken und die Resilienz von Lieferketten verbessern, um mit der Bedrohungslage Schritt zu halten. Auch Quantensicherheit sollte dringend eine Rolle spielen. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/d0/cfd05fb7d685daeef671838eb3edf725/0128875949v2.jpeg "Drei teils kritische Schwachstellen betreffen lokale Windows-Versionen von Trend Micro Apex Central. Sie ermöglichen eine vollständige Systemübernahme durch Remote-Code-Ausführung sowie Denial-of-Service-Angriffe. (Bild: Melinda Nagy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/bc/1bbce1be24cc1385f75c3807304a159a/0128961828v2.jpeg "Vom 13. bis 16 Januar 2026 fand in Lissabon die Sharp Inspire Expo statt. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/f5/20/f5202ba457b5b1acd41cf9dcf7fee081/0128966225v1.jpeg "SASE-Plattformen verarbeiten Sicherheitsfunktionen direkt im Datenstrom. Leistungsengpässe wirken sich sofort auf Anwendungen und Richtliniendurchsetzung aus. (Bild: © Thares2020 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6a/73/6a73ccb768416b1a5682e4dcaef48d84/0128975429v1.jpeg "Die Sicherheitsarchitektur von SAP S/4HANA entsteht in der Startphase aus Rollenmodellen, Schnittstellenkontrollen, Protokollierung und klaren Betriebsprozessen. (Bild: © BalanceFormCreative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/1e/091ed8cb9e5ff2018767a38d5f3e6c01/0128644514v2.jpeg "In Europa werden vor allem Infostealer, Spyware und Backdoors eine zunehmende Bedrohung für Unternehmen. (Bild: Neuropixel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b2/d0/b2d0d2ae93fd30ca5959bcf82b4d5bb3/0128930398v1.jpeg "Deepfakes und KI-gestützter Betrug stellen Unternehmen, Behörden und Gesellschaft vor neue Herausforderungen. Technische Erkennung, organisatorische Maßnahmen und Forschungspartnerschaften gelten als zentrale Gegenpole. (Bild: © JovialFox - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/a3/ec/a3ec11b9e86fea4d2ef9e49a0a69f316/0127251360v2.jpeg "Wir haben die wichtigsten Fakten zum Support-Ende von Windows 10 zusammengetragen, mit Experten mögliche Sicherheitsmaßnahmen für den Weiterbetrieb bewertet und ein alternatives Betriebssystem vorgestellt. Das Ergebnis ist diese Podcast-Reihe, die Sie durch diese Woche begleitet. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/4c/6f/4c6f0475c9ce93763edefaddca0636e8/0127567626v2.jpeg "Anstelle bis zum nächsten Patchday zu warten, veröffentlichte Microsoft nun außerplanmäßig einen Nofall-Patch für eine WSUS-Sicherheitslücke, der Ausnutzung wahrscheinlich sei. (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/c2/6ec2d20bdbdabec3078fcaf1e80975f2/0112936548v3.jpeg "Mit kostenlosen Tools wie Windows Update Mini Tool und Co bekommen Admins mehr Kontrolle über Updates in Windows. (Bild: Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/e6/79e62fea0fa6c6893ab575977f19303f/0124982965v2.jpeg "Mit Einführung des Hotpatching für Windows 11 muss man einen PC nicht mehr (mindestens) 12x im Jahr neu starten, sondern nur noch 4x, im Rahmen der Installation der Baseline-Updates. (Bild: © Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/07/330715e07e85cb5ab855b87277dd2bd8/0123215790v2.jpeg "Entra ID und Microsoft 365 mit Passkeys nutzen: So geht’s. (Bild: BillionPhotos.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/74/b9745e9309f8c5d193e56b98104d87f1/0126778280v8.jpeg "Das UpDownTool konvertiert Windows 10 oder 11 zu Windows 10 IoT Enterprise LTSC. Die Windows-Version ist beliebt in Industrieumgebungen für besonders lange Update-Zyklen. (Bild: © Who is Danny - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/41/f9414ce31e8109abe69fe576bf3bfdcb/0125224403v2.jpeg "Sicherheitsforschern ist es gelungen, einen Exploit zu entwickeln, der einen Designfehler in kontextbasierten Large Language Models ausnutzt. (Bild: rufous - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/a2/e8a2ebe7bae1c8880d95e733e544a93e/0125744786v2.jpeg "Die Schwachstelle CVE-2025-53770 gilt als hochgefährlich, da sie bereits weltweit von Angreifern ausgenutzt wird und SharePoint-Server in Behörden, Unternehmen und kritischen Infrastrukturen kompromittierbar macht. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/79/f2/79f2142a91d72db0cdbfbb3d6a826ff0/0122447224v1.jpeg "Kostenpflichtiger Support für Windows 10 oder doch Windows 11? Aber welche Hardware wird dafür benötigt? Oder doch lieber ein ganz neues Betriebssystem? Diese und weitere Fragen sollten sich Nutzer möglichst bald stellen – wir liefern alle wichtigen Infos zum Support-Ende von Windows 10. (Bild: Dall-E / Vogel IT-Medien / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/91/ed/91edba400b970f6d4935efa4b47a129e/0128319394v2.jpeg "Microsoft-Produkte wie Windows, Azure, Office, Dynamics Visual Studio und viele mehr werden ausgemustert oder werden auf erweiterten Support umgestellt oder erhalten gar keinen Support mehr. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d9/41/d9410335aa54ea822dc98e0564a65219/0121658350v1.jpeg "Der Microsoft Patchday ist immer am zweiten Dienstag des Monats. (Bild: Sahir_Stock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/43/1e/431e7e2493b3e1dc26fa0c8294976335/0122470970v1.jpeg "Die gefährlichste Schwachstelle des Micorosft Patchdays im Dezember ist CVE-2025-62221 im Cloud Files Mini Filter Driver, da sie bereits aktiv ausgenutzt wird und lokale Privilegieneskalation auf allen unterstützten Windows-Versionen ermöglicht. (Bild: Dall-E / Vogel IT-Medien / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/05/24055930c490d8f979c1b7402af93bb1/0122470970v1.jpeg "Besonders gravierend sind beim Oktober Patchday von Microsoft die Remote-Code-Ausführungen in WSUS, der Windows-Grafikkomponente, im URL-Parser , in SharePoint und im RDP-Client. (Bild: Dall-E / Vogel IT-Medien / KI-generiert)")