MaDe-Online

Das Private Online Netzwerk

IT-Sicherheitsupdate KW 47/2025: Kritische Schwachstellen im Überblick

Verfasst von

admin

in

,

Kurzüberblick: In der Kalenderwoche 47/2025 wurden mehrere kritische Sicherheitslücken bekannt. Microsoft schloss insgesamt 63 Schwachstellen, darunter eine aktiv ausgenutzte Kernel-Lücke und eine besonders gefährliche GDI+-Lücke, die Angriffe ohne Nutzerinteraktion ermöglicht. Auch Office- und SQL-Server sind betroffen, da präparierte Dateien oder Datenbanken zur Codeausführung missbraucht werden können. Surface-Geräte erhielten Firmware-Updates gegen Spoofing-Angriffe bei Fingerabdrucksensoren sowie gegen Schwachstellen in Qualcomm- und NVIDIA-Komponenten. Bei Pixel-Smartphones sind zwei kritische Android-Lücken noch ungepatcht, da das Update verzögert wurde. Samsung verteilte hingegen bereits ein Update für seine Fold- und Flip-Modelle, das 25 Sicherheitslücken schließt.

🔐 Microsoft Patchday (November 2025)

  • 63 Sicherheitslücken geschlossen, davon 4 kritisch und 1 aktiv ausgenutzt.
  • CVE-2025-60724 (GDI+): Kritische Schwachstelle mit CVSS 9.8. Angreifer können manipulierte Bilddateien einschleusen, die automatisch verarbeitet werden – kein Benutzerklick nötig.
  • CVE-2025-62215 (Windows-Kernel): Aktive Zero-Day-Lücke, ermöglicht Rechteausweitung auf SYSTEM-Ebene durch Race-Condition.
  • CVE-2025-60709 (Common-Log-File-System): Wiederkehrende Schwachstelle, lokale Privilegienerweiterung.
  • CVE-2025-60715 (Routing and Remote Access Service): Remote-Code-Execution über Netzwerk möglich.
  • Mehrere Office-Lücken (CVE-2025-62199, CVE-2025-62216): Angriffe über präparierte Dokumente, auch über Vorschaufenster in Outlook/Explorer.
  • SQL Server (CVE-2025-59499, CVSS 8.8): Kritische Schwachstelle mit potenzieller Codeausführung.

💻 Surface-Geräte

  • Firmware-Updates für 8 Modelle schließen Lücken.
  • Betroffen: Fingerabdruckauthentifizierung (Spoofing-Angriffe möglich).
  • Mehrere Qualcomm- und NVIDIA-Schwachstellen (z. B. CVE-2025-27066, CVE-2025-23276), die zu Denial-of-Service, Privilegieneskalation oder Codeausführung führen können.

📱 Android & Pixel-Smartphones

  • Google veröffentlichte im November ein Android-Sicherheitsupdate mit 2 kritischen Fixes.
  • Verzögerung beim Pixel-Update: Nutzer sind aktuell noch ungeschützt gegen diese beiden Lücken.
  • Details: Speicher- und Systemfehler, die Remote-Angriffe ermöglichen könnten.

📱 Samsung Fold & Flip

  • November-Patch für Galaxy Z Fold 7, Z Flip 7, Fold 6, Flip 6.
  • 25 Sicherheitslücken geschlossen, darunter mehrere kritische.
  • Update wird global verteilt, aktuell schon in Südkorea verfügbar.

🛡️ Fazit

Die wichtigsten Punkte:

  • Microsoft: Kritische GDI+-Lücke (CVE-2025-60724) und aktiver Kernel-Exploit (CVE-2025-62215).
  • Surface: Fingerabdruck-Spoofing und Qualcomm/NVIDIA-Lücken.
  • Pixel: Zwei kritische Android-Lücken noch ungepatcht.
  • Samsung: 25 Schwachstellen in Fold-/Flip-Modellen geschlossen.

© 2025 MaDe-Online

Weitere Beiträge