heise PlusAbo
Anzeige

Microsoft-Patchday: 5 kritische Windows-LĂĽcken, 6 andere bereits ausgenutzt

Zum Patchday im März 2025 veröffentlicht Microsoft Korrekturen für insgesamt 57 CVE-Einträge. Sie betreffen Windows, Office, Visual Studio, Azure und mehr.

vorlesen Druckansicht 48 Kommentare lesen
Computer zeigt Windows-Logo an, Server drum herum brennen, qualmende Viren attackieren alles

Updates sind verfĂĽgbar.

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Lesezeit: 2 Min.
Security
Von
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

Zum März-Patchday hat Microsoft Korrekturen für insgesamt 57 CVE-Schwachstelleneinträge veröffentlicht. Fünf davon betreffen als kritisch eingestufte Lücken in Windows-Systemen; von weiteren 33 Windows-Schwachstellen mit hohem Schweregrad werden sechs bereits ausgenutzt. Weitere betroffene Produkte sind unter anderem Office, Edge, Visual Studio und einige Azure-Komponenten.

Wie gewohnt bietet Microsoft in seinem Security Response Center eine nach Produkt und Schweregrad filterbare Liste an; in den Release Notes für den März-Patchday listet Microsoft zudem alle 57 CVEs auf.

Kritische Windows-LĂĽcken

Die fünf kritischen Windows-Lücken wurden demnach bislang noch nicht ausgenutzt. CVE-2025-24035 und CVE-2025-24045 adressieren das Risiko einer Remotecodeausführung über den Windows-Remotedesktopdienst; Microsoft schätzt das Risiko einer Ausnutzung hier als wahrscheinlich ein.

Als weniger wahrscheinlich gelten die LĂĽcken CVE-2025-26645 (LĂĽcke im Remotedesktop-Client), CVE-2025-24084 (Gefahr einer RemotecodeausfĂĽhrung durch das Windows Subsystem fĂĽr Linux 2) und CVE-2025-24064 (LĂĽcke im Domain Name Service). Immerhin

Bereits ausgenutzt

Zusätzlich listet Microsoft allein für Windows-Systeme insgesamt 33 CVEs mit hohem Schweregrad (bei Microsoft auch "wichtig" genannt) auf. Sechs davon werden bereits ausgenutzt. So ermöglichen Lücken in den Dateisystemtreibern für FAT und NTFS Remotecodeausführung (CVE-2025-24985, CVE-2025-24993) und das Abgreifen vertraulicher Informationen (CVE-2025-24991, CVE-2025-24984).

Videos by heise

Eine Privilege-Elevation-Lücke steckt im Win32 Kernel Subsystem und betrifft ältere Systeme (LTSC- und Server-Versionen bis 2016, CVE-2025-24983), eine Lücke in der Microsoft Management Console (MMC) ermöglicht die Umgehung von Sicherheitsfunktionen (CVE-2025-26633).

(Update 12.03.2025, 18:30: Jahreszahl im Einleitungstext korrigiert)

(jss)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten