Für Windows-10-Nutzer ist es eine gute Nachricht: Der Konzern macht die „Extended Security Updates“ (ESU) ein Jahr lang für Privatnutzer im Europäischen Wirtschaftsraum (EU-Staaten und Island, Norwegen und Liechtenstein) bis zum 14. Oktober 2026 kostenfrei verfügbar. Das geht aus einem Schriftwechsel zwischen einer Verbraucherorganisation und Microsoft hervor. Microsoft hat das inzwischen gegenüber Windows Central bestätigt.

Anders als etwa in den USA, wo das Update-Jahr 30 US-Dollar kosten soll, können Verbraucher in Europa die Sicherheitsupdates kostenfrei erhalten. Das sicherte Microsoft dem Verband Euroconsumers zu. Nur einen Haken wird es weiterhin geben: Die Sicherheitsupdates bekommen nur Privatnutzer, die ihre Windows-10-Installation mit einem Microsoft-Konto verknüpft haben. Trotzdem sei das ein Fortschritt, findet Els Bruggemann von der Verbraucherorganisation Euroconsumers, die Microsoft dazu gedrängt hatte.

Denn Euroconsumers sah in den Bedingungen, die die Firma zum Zugang für einen längeren Sicherheitsupdate-Support bislang aufstellte, gleich mehrere Verstöße gegen EU-Gesetze. Microsoft habe den Zugang zu Updates von weiteren Daten abhängig gemacht. Angesichts der Marktmacht des US-Konzerns unter dem Digital Markets Act (DMA) und unter der kaum bekannten „Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen“ sei das nicht möglich, so die Organisation. Die Richtlinie formuliert Anforderungen für digitale Inhalte und Dienstleistungen. Euroconsumers wirft Microsoft aber weiterhin vor, durch willkürliche Hardwareanforderungen für Windows 11 gegen das Recht zu verstoßen und unnötige Obsoleszenz herbeizuführen.

Neuregelung gilt nur in Europa

Mit dem nun eingeschlagenen Weg, dass Privatnutzer für die Sicherheitsupdates auf ein Microsoft-Konto angewiesen sind, zeigte sich Euroconsumers etwas besänftigt: Zumindest rechtlich sei das, anders als etwa die Verknüpfung mit der Teilnahme am Reward-Programm oder mit Microsofts OneDrive kein Verstoß gegen die Regeln des Digital Markets Act, erklärt Bruggeman gegenüber heise online. Für Unternehmen und andere kommerzielle Nutzer gilt allerdings weiterhin: Die Teilnahme am ESU-Programm bleibt für sie kostenpflichtig.

Mit dem Zugeständnis an die Verbraucherschützer bevorteilt Microsoft bei ihrem ersten Verbraucher-ESU-Programm die Nutzer in der EU und dem verbundenen Wirtschaftsraum deutlich – was für weitere Diskussionen auch in anderen Regionen sorgen könnte. Dass das EU-Recht hier offenbar eine Besserstellung der Nutzer gegenüber anderen Rechtsordnungen bietet, dürfte die zuständigen Politiker in Brüssel mit einiger Freude sehen.

BSI begrüßt Gnadenfrist – und fordert Nutzer zum Handeln auf

Das Bundesamt für Sicherheit in der Informationstechnik (BS) begrüßt ausdrücklich die längere Verfügbarkeit wichtiger Sicherheitsupdates für Privatnutzer mit Windows 10: „Anwenderinnen und Anwender bekommen damit etwas mehr Zeit, sich um ein Betriebssystem zu bemühen, das langfristig mit Sicherheitsupdates versorgt wird“, erklärt ein Sprecher. Über eigene Erkenntnisse zur Zahl der Windows-10-Nutzer in Deutschland verfügt die Bonner Behörde nicht. Öffentliche Statistiken weisen aber nach wie vor einen hohen Marktanteil aus – demnach läuft etwa die Hälfte der Systeme in Deutschland noch mit dem vor zehn Jahren erstmals veröffentlichten Betriebssystem.

(ps)

Ciscos Netzwerkbetriebssysteme IOS und IOS XE sind verwundbar. Die Entwickler haben nun mehrere Sicherheitslücken geschlossen. Eine Schwachstelle nutzen Angreifer bereits aus. In welchem Umfang die Attacken ablaufen, ist derzeit unklar. Sicherheitspatches stehen zum Download bereit.

Weiterführende Informationen zu den Schwachstellen, betroffenen Geräten und Updates finden Admins in den unterhalb dieses Beitrags verlinkten Warnmeldungen.

Netzwerke schützen

Die zurzeit ausgenutzte Lücke (CVE-2025-20352 „hoch„) betrifft Geräte wie Router und Switches mit IOS und IOS XE. Ansatzpunkt für Angreifer ist ein Fehler im Network Management Protocol (SNMP). An dieser Stelle können sie mit präparierten SNMP-Paketen ansetzen, die sie über Ipv4- oder Ipv6-Netzwerke verschicken. Sind Attacken erfolgreich, führt das zu einem DoS-Zustand und daraus resultierenden Abstürzen. Im schlimmsten Fall führen Angreifer sogar als Root Schadcode aus, was zu einer vollständigen Kompromittierung von Systemen führt. In beiden Fällen müssen Angreifer aber bereits authentifiziert sein.

Am gefährlichsten ist eine Schwachstelle (CVE-2025-20334 „hoch„) im Subsystem HTTP API von ISO XE eingestuft. Bringen Angreifer ohne Authentifizierung Opfer dazu, auf einen manipulierten Link zu klicken, können sie im Anschluss Befehle mit Root-Rechten ausführen.

Durch das erfolgreiche Ausnutzen der verbleibenden Sicherheitslücken können Angreifer vorwiegend DoS-Zustände erzeugen oder die Authentifizierung oder Sicherheitsmaßnahmen umgehen. Admins sollten zeitnah sicherstellen, dass die Sicherheitsupdates installiert sind.

Liste nach Bedrohungsgrad absteigend sortiert:

(des)