Datenschutz & Sicherheit

Patchday: Microsoft schließt 100.000-$-Lücke in SharePoint aus Hacker-Wettbewerb


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Microsoft schließt mehrere Sicherheitslücken in seinem Softwareportfolio. Davon stuft der Hard- und Softwareentwickler mehrere Schwachstellen als „kritisch“ ein. In vielen Fällen kann Schadcode Computer vollständig kompromittieren.

Verschiedene Gefahren

Eine Lücke (CVE-2025-49719 „hoch„) in Microsoft SQL Server ist öffentlich bekannt und es können Angriffe bevorstehen. Daran können der Beschreibung der Schwachstelle zufolge Angreifer ohne Authentifizierung ansetzen, um über ein Netzwerk auf eigentlich abgeschottete Informationen zuzugreifen. Die dagegen geschützten Versionen sind in einem Beitrag aufgelistet.

Mehrere Schadcodelücken, die Angreifer aus der Ferne ausnutzen können sollen, stuft Microsoft als „kritisch“ ein, auch wenn die CVE-Einstufung niedriger ist. Davon sind unter anderem Office (etwa CVE-2025-49695hoch„), SharePoint (CVE-2025-49704hoch„) und Hyper-V (CVE-2025-48822hoch„) betroffen. Die Office-Sicherheitsupdates sind aber Microsoft zufolge bisher nicht komplett verfügbar. Sie sollen aber so schnell wie möglich folgen.

Die genannte SharePoint-Lücke haben Sicherheitsforscher während des Hacker-Wettbewerbs Pwn2Own in Berlin entdeckt. Dafür haben sie eine Prämie von 100.000 US-Dollar kassiert. 

Überdies können Angreifer noch an Softwareschwachstellen in unter anderem BitLocker, Edge und verschiedenen Windows-Komponenten wie dem Kernel ansetzen. An diesen Stellen können sie sich etwa höhere Nutzerrechte aneignen oder Dienste via DoS-Attacke abstürzen lassen.

Reparaturen und erweiterter Schutz

Mit den aktuellen Updates reparieren die Entwickler einen Firewall-Fehler und die Update-Vorschau, die durch den Patchday im Juni kaputtgegangen sind. Zusätzlich hat Microsoft das im Zuge der April-Updates demolierte Windows-Recovery-Enviroment-Update unter Windows 10 und Server 2022 wieder zum Laufen gebracht.

Außerdem wurde die Kerberos-Authentifizierung gehärtet. Seit 8. Juli 2025 gelten standardmäßig nur noch Zertifikate als vertrauenswürdig, die von Zertifikatsausstellern signiert wurden, die Teil des NTAuth-Speichers sind. Bis 14. Oktober 2025 können Admins das über den Registryeintrag AllowNtAuthBypass noch umgehen. Ab dem zuletzt genannten Datum geht das dann nicht mehr.

Weitergehende Informationen zu allen an diesem Patchday geschlossenen Lücken listet Microsoft im Security Update Guide auf.


(des)



Source link

Verwandte Themen:

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Beliebt

Die mobile Version verlassen