Beim Patch Day am 8. April hat Microsoft Sicherheits-Updates gegen 121 neue Sicherheitslücken bereitgestellt. Eine der Sicherheitslücken in Windows wird laut Microsoft bereits für Angriffe ausgenutzt. Mehrere Schwachstellen in Windows und Office weist Microsoft als kritisch aus, stellt jedoch zunächst keine Windows-10-Updates dagegen bereit. Spärliche Details zu den Schwachstellen bietet Microsoft zum Selbstsuchen im Leitfaden für Sicherheitsupdates. Deutlich übersichtlicher bereitet Dustin Childs im Blog von Trend Micro ZDI das Thema Update-Dienstag auf – stets auch mit Blick auf Admins, die Unternehmensnetzwerke betreuen.
Die wichtigsten Sicherheitslücken beim Patch Day im April 2025
| CVE | anfällige Software | Schweregrad | Auswirkung | ausgenutzt? | vorab bekannt? | CVSS |
|---|---|---|---|---|---|---|
| CVE-2025-29824 | Windows | hoch | EoP | ja | nein | 7.8 |
| CVE-2025-26663 | Windows LDAP | kritisch | RCE | nein | nein | 8.1 |
| CVE-2025-26670 | Windows LDAP | kritisch | RCE | nein | nein | 8.1 |
| CVE-2025-27480 | Windows RDS | kritisch | RCE | nein | nein | 8.1 |
| CVE-2025-27482 | Windows RDS | kritisch | RCE | nein | nein | 8.1 |
| CVE-2025-26686 | Windows, TCP/IP | kritisch | RCE | nein | nein | 7.5 |
| CVE-2025-27491 | Windows Hyper-V | kritisch | RCE | nein | nein | 7.1 |
| CVE-2025-27752 | Office, Excel | kritisch | RCE | nein | nein | 7.8 |
| CVE-2025-29791 | Office, Excel | kritisch | RCE | nein | nein | 7.8 |
EoP: Elevation of Privilege, Rechteausweitung
Browser-Updates
Das neueste Sicherheits-Update für Microsofts Browser Edge ist Version 135.0.3179.54 vom 3. April, basierend auf Chromium 135.0.7049.42. Es beseitigt auch zwei Edge-spezifische Sicherheitslücken. Google hat am 8. April bereits ein neues Sicherheits-Update für Chrome (135.0.7049.85) veröffentlicht, das zwei weitere Lücken stopft.
Office-Lücken
In seinen Office-Produkten hat Microsoft 21 Schwachstellen beseitigt, darunter 14 RCE-Lücken, von denen fünf als kritisch ausgewiesen sind. Zwei dieser RCE-Schwachstellen stecken in Excel. Zwei RCE-Lücken in Word weist Microsoft hingegen nur als hohes Risiko aus.
Schwachstellen in Windows
Ein großer Anteil der Schwachstellen, diesmal 90, verteilt sich über die verschiedenen Windows-Versionen (10 und neuer, Server), für die Microsoft noch Sicherheits-Updates für alle anbietet. Windows 7 und 8.1 werden zwar in den Sicherheitsberichten nicht mehr erwähnt, könnten jedoch anfällig sein. Soweit die Systemanforderungen das zulassen, sollten Sie auf Windows 10 (22H2) oder Windows 11 (24H2) wechseln, um weiterhin Sicherheits-Updates zu bekommen.
▶Microsoft warnt Millionen Windows-Nutzer: Euer PC muss auf den Müll
Windows unter Beschuss
Nach Microsofts Angaben gibt es bereits Angriffe auf eine Sicherheitslücke in Windows. Es handelt sich bei CVE-2025-29824 im Treiber des gemeinsamen Protokolldateisystems um eine Use-after-free-Lücke (UAE), die Microsoft als hohes Risiko einstuft. Die Angreifer können ihrem eingeschleusten Code damit Systemrechte verschaffen. Solche EoP-Schwachstellen (Elevation of Privilege) werden gerne in Kombination mit einer RCE-Lücke (Remote Code Execution) eingesetzt. Dazu, wie verbreitet Angriffe auf diese Schwachstelle derzeit sind, macht Microsoft keine Angaben. Microsoft hat noch keine Updates für Windows 10 bereitgestellt, um diese Schwachstelle zu beheben.
Kritische Windows-Lücken
Als kritisch weist Microsoft die LDAP-Lücken (Lightweight Directory Access Protocol) CVE-2025-26663 und CVE-2025-26670 aus. Mit einer speziell gestalteten LDAP-Nachricht können Angreifer beliebigen Code einschleusen und ausführen, ohne dass eine Benutzeraktion nötig wäre. LDAP sollte möglichst auf das lokale Netzwerk beschränkt werden. Auch gegen diese beiden UAE-Schwachstellen sind noch keine Updates für Windows 10 verfügbar. Einen Grund dafür nennt Microsoft nicht, will jedoch so schnell wie möglich nachliefern.
▶Die neuesten Sicherheits-Updates
Ebenfalls als kritisch stuft Microsoft die RCE-Lücken CVE-2025-27480 und CVE-2025-27482 in den Remote Desktop-Diensten ein. Da diese der Fernsteuerung und -wartung dienen, sind sie oft von außerhalb des Netzwerk-Perimeters erreichbar. Außerdem sind je eine RCE-Schwachstelle in Hyper-V (CVE-2025-27491) und im TCP/IP-Stack (CVE-2025-26686) als kritisch ausgewiesen. Auch gegen diese beiden Lücken hat Microsoft noch keine Updates für Windows 10 parat.
Tipp: Unabhängig davon, dass Sie das Betriebssystem stets aktuell halten, sollten Sie die Sicherheit Ihres PCs zusätzlich mit geeigneter Antivirus-Software verbessern. Gute Antivirus-Lösungen stellen wir in „Die besten Antivirus-Programme 2025 im Test: So schützen Sie Ihren Windows-PC“ vor. Falls Sie großen Wert auf anonymes Surfen legen, sind wiederum gute VPN-Programme einen Blick wert.
Im April gibt es wieder kein neues Windows-Tool zum Entfernen bösartiger Software. Der nächste turnusmäßige Update-Dienstag ist am 13. Mai 2025.
