Microsofts erster Patch Tuesday im Jahr 2025, veröffentlicht am 14. Januar, brachte ein rekordverdächtiges Update mit 159 Sicherheitsfixes, das Schwachstellen in Windows, Microsoft Office, Edge und anderen Diensten adressiert. Dieses Update ist das größte der letzten Jahre und umfasst mehr als doppelt so viele Patches wie üblich.

Wichtige Highlights des Patch Tuesday Januar 2025

• 159 behobene Sicherheitslücken, darunter 8 kritische.
• 3 Windows-Schwachstellen wurden bereits aktiv ausgenutzt.
• 5 weitere Schwachstellen waren vor der Veröffentlichung öffentlich bekannt.
• Wichtige Updates für Windows, Office und Microsoft Edge.
• Nächster Patch Tuesday am 11. Februar 2025.

>>>NH2054 for Climet CI-170 Deity S-95 Sound Devices Mixpre 10T lI

Behobene Windows-Sicherheitslücken

Windows machte 132 der gepatchten Schwachstellen aus und betraf unterstützte Versionen wie Windows 10, Windows 11 und Windows Server.
Windows 7 und 8.1 werden nicht mehr in Microsofts Sicherheitsupdates erwähnt, können aber nach wie vor anfällig für ähnliche Bedrohungen sein. Nutzer älterer Windows-Versionen wird dringend geraten, auf Windows 10 oder 11 zu aktualisieren, um weiterhin Sicherheitsunterstützung zu erhalten.

Aktiv ausgenutzte Windows-Schwachstellen

Microsoft bestätigte, dass drei Schwachstellen in Windows Hyper-V vor dem Update aktiv ausgenutzt wurden:

• CVE-2025-21333, CVE-2025-21334 und CVE-2025-21335
  • Ermöglichen Angreifern mit Zugriff auf eine Gast-VM, schädlichen Code auf dem Host-System auszuführen.
  • Könnten potenziell ganze virtualisierte Umgebungen kompromittieren.

Kritische Windows-Schwachstellen

Microsoft hat 8 Windows-Schwachstellen als kritisch eingestuft, darunter:

• CVE-2025-21298 (Windows OLE – CVSS 9.8)
  • Angreifer können diese Schwachstelle über eine spezielle E-Mail, die in Outlook geöffnet wird, ausnutzen.
  • Das Vorschaufenster selbst ist keine Angriffsfläche, aber das Öffnen einer Anhangsvorschau kann eine Code-Injection und -Ausführung ermöglichen.
• CVE-2025-21297 & CVE-2025-21309 (Remote Desktop Gateway – CVSS 8.1)
  • Diese Schwachstellen ermöglichen es Angreifern, Windows Remote Desktop Gateway ohne Anmeldeinformationen zu kompromittieren.
  • Hacker müssen eine Race Condition auslösen, um eine Use-After-Free-Schwachstelle auszunutzen.

Behobene Microsoft Office-Schwachstellen

Microsoft hat 20 Schwachstellen in Office-Anwendungen behoben, darunter RCE-Schwachstellen in:

• Word, Excel, Outlook, OneNote, Visio und SharePoint Server
• Drei Zero-Day-Schwachstellen in Access

Behobene Microsoft Edge-Schwachstellen

Das neueste Sicherheitsupdate für Microsoft Edge ist die Version 131.0.2903.146 (veröffentlicht am 10. Januar 2025). Dieses Update basiert auf Chromium 131.0.6778.265.

Fazit

Mit 159 behobenen Sicherheitslücken ist dies eines der umfassendsten Sicherheitsupdates der letzten Jahre. Unternehmen und Privatnutzer sollten die Updates so schnell wie möglich installieren, insbesondere für Windows Hyper-V, Remote Desktop Services und Microsoft Office.