Am zweiten Dienstag im Oktober 2025 veröffentlichte Microsoft seinen aktuellen Patch Tuesday mit über 170 Sicherheitslücken, darunter mehrere Zero-Day-Exploits – ein deutliches Signal für Dringlichkeit und Risiko.
Dieser Zyklus ist außerdem besonders relevant, da er mit dem Supportende von Windows 10 zusammenfällt – ab diesem Monat erhält Windows 10 keine regulären Updates mehr. Für Unternehmen bedeutet das: Wer jetzt nicht handelt, riskiert beträchtliche Sicherheitslücken und Compliance-Probleme.
Zu den Highlights dieses Monats zählen:
Mehr als 170 Fixes fĂĽr Microsoft-Produkte, darunter Windows, Office, Azure.
Mehrere aktiv ausgenutzte Zero-Days, z. B. CVE-2025-24990 (Agere-Modem-Treiber) oder CVE-2025-59230 (RasMan Elevation of Privilege) wurden bereits im Feld beobachtet.
Hauptkategorien: Elevation of Privilege, Remote Code Execution (RCE), Information Disclosure – also Risiken, die tief greifen.
Für Windows 10-Systeme war dies der letzte reguläre Patch-Zyklus – danach nur noch über Extended Security Updates (ESU) möglich.
Priorisieren & Patchen
Jetzt heißt es: sofort testen, then rollen. Systeme mit hoher Kritikalität – z. B. Domain-Controller, Remoteserver, VPN-Gateway – haben Vorrang. Verzögerung ist riskant, insbesondere bei Zero-Days.
Kompatibilität & Legacy-Systeme im Blick behalten
Wenn Sie noch Geräte mit Windows 10 oder älteren Microsoft-Produkten betreiben: Prüfen Sie, ob diese unterstützt sind oder ob der Wechsel auf ESU-Programme sinnvoll ist. Auch Applikationen, die auf veraltete Treiber zurückgreifen, können betroffen sein (z. B. veraltete Modem/Fax-Treiber im Kontext von CVE-2025-24990).
Prozess & Kommunikation
Der Oktober-Patch-Zyklus 2025 ist kein Routine-Update – er ist ein Sicherheits- und Compliance-Weckruf. Unternehmen, die reagieren, setzen sich strategisch vom Risiko ab; jene, die zögern, öffnen Angriffsflächen und erhöhen die Kosten. Jetzt patchen, testen, nachjustieren – und langfristig Prozesse etablieren, die solche Updates nicht mehr zur Ausnahme machen.