Heute ist der Patch Tuesday von Microsoft für November 2025, der Sicherheitsupdates für 63 Schwachstellen enthält, darunter eine aktiv ausgenutzte Zero-Day-Sicherheitslücke.
Dieser Patch Tuesday behebt auch vier „kritische” Sicherheitslücken, von denen zwei Remote-Code-Ausführungslücken sind, eine eine Rechteausweitung und die vierte eine Schwachstelle bei der Offenlegung von Informationen.
Die Anzahl der Fehler in jeder Schwachstellenkategorie ist unten aufgeführt:
- 29 Schwachstellen zur Erhöhung von Berechtigungen
- 2 Schwachstellen zur Umgehung von Sicherheitsfunktionen
- 16 Schwachstellen zur Remote-Codeausführung
- 11 Schwachstellen zur Offenlegung von Informationen
- 3 Schwachstellen zum Denial-of-Service
- 2 Schwachstellen zum Spoofing
Details zur kritischen Zero-Day-Schwachstelle
Der dringlichste Punkt auf der Agenda ist die behobene Zero-Day-Lücke. Ein Zero-Day ist eine Schwachstelle, die den Softwareherstellern noch nicht bekannt war, als sie bereits von Angreifern ausgenutzt wurde. Die Zeitspanne zwischen dem ersten Angriff und dem Patch ist „null Tage“ – daher der Name.
Für den Microsoft Patchday November 2025 betrifft die Zero-Day-Lücke (im Folgenden mit der hypothetischen CVE-Nummer CVE-2025-62215 identifiziert) ein fundamentales Windows-Komponente: den Windows-Kernel.
Technische Zusammenfassung
- Ein Synchronisationsfehler ermöglicht den gleichzeitigen Zugriff auf oder die Änderung von gemeinsam genutzten Kernel-Objekten ohne ordnungsgemäße Sperrung oder Reihenfolge, was zu einer Race Condition (CWE-362) führt. Unter bestimmten zeitlichen Umständen kann diese Race Condition zu einer doppelten Freigabe (CWE-415) einer Kernel-Zuweisung führen.
- Der Gewinn des Wettlaufs kann dazu führen, dass ein Objekt zweimal freigegeben wird oder ein Objekt freigegeben wird, während es noch von einem anderen Thread verwendet wird, was zu einer Beschädigung des Kernel-Heaps führt, z. B. durch Use-after-free, dangling pointers oder beschädigte Allokator-Metadaten.
- Ein Angreifer kann dann Funktionszeiger oder vtable-Zeiger in Kernel-Objekten überschreiben oder den Allokatorstatus erzwingen, sodass vom Angreifer kontrollierte Daten als Kernel-Strukturen verwendet werden. Dies kann zur Ausführung von beliebigem Code im Kernel-Kontext (Ring 0) oder zur Manipulation von Tokens (SYSTEM-Token-Diebstahl) führen, wodurch ein lokaler Benutzer mit geringen Berechtigungen zu SYSTEM erhoben wird.
Umfang und Ausnutzbarkeit
- Betrifft alle unterstützten Versionen von Windows 10 und 11 sowie die entsprechenden Windows Server-Versionen.
- Die Ausnutzung erfordert die lokale Ausführung von Code oder den lokalen Zugriff auf den Rechner.
- Der Angriff hängt vom Gewinn eines Timing-Wettlaufs ab, ist daher komplex und fragil und erfordert präzises Timing, Pool-Grooming und gleichzeitige Threads oder Prozesse.
- Der Angreifer benötigt nur geringe Berechtigungen für das Zielkonto und keine Benutzerinteraktion über seine eigene Aktivität hinaus.
- Die Sicherheitsempfehlung stuft das Problem mit etwa 7,0 (wichtig) ein, was die hohe Auswirkung, aber auch die hohe Komplexität der Ausnutzung widerspiegelt. In der Sicherheitsempfehlung wird darauf hingewiesen, dass die Schwachstelle bereits in der Praxis ausgenutzt wurde und dass der Exploit-Code funktionsfähig ist.
Warum dies in Ketten gefährlich ist
- Ein Fehler bei der Remote-Codeausführung in einem netzwerkseitigen Dienst oder ein Browser-Sandbox-Escape könnte die lokale Codeausführung ermöglichen, die zum Ausführen dieses Kernel-Exploits erforderlich ist, wodurch eine Remote-Kompromittierung zu einer vollständigen SYSTEM-Übernahme führen könnte.
- Browser- oder Anwendungs-Sandbox-Escapes, die in diese Kernel-Elevation einfließen, verwandeln webbasierte Angriffe in eine vollständige Kompromittierung des Geräts.
- Von einer Position mit geringen Privilegien auf einem Host aus können Angreifer zu SYSTEM eskalieren, Anmeldedaten auslesen und sich lateral im Netzwerk bewegen.
Auswirkungen auf das Geschäft
- Kompromittierung kritischer Server wie Domänencontroller oder Dateiserver, was zu einer großflächigen Offenlegung von Anmeldedaten führt.
- Laterale Bewegung und Einsatz von Ransomware mit SYSTEM-Privilegien.
- Regulatorische, finanzielle und Reputationsschäden nach umfangreicher Datenexfiltration oder Betriebsstörungen.
Obwohl die hohe Komplexität das Risiko einer massenhaften Ausnutzung verringert, erhöht das Vorhandensein eines funktionsfähigen Exploits, der in freier Wildbahn eingesetzt wird, die Dringlichkeit. Erfahrene Angreifer sind bereits in der Lage, dies in gezielten Kampagnen als Waffe einzusetzen.
Wichtige Angriffsszenarien
- Gezielte Eindringversuche: Angreifer verschaffen sich einen lokalen Zugang und führen dann die Kernel-Elevation durch, um die vollständige Kontrolle zu erlangen und sich dauerhaft zu etablieren.
- Exploit-Verkettung: Ein RCE in einem exponierten Dienst oder Browser, gefolgt von einer lokalen Payload und dieser Kernel-Elevation, was zur Übernahme der Domäne führt.
- Missbrauch von Cloud und Hosting: Wenn der anfällige Codepfad im Hypervisor- oder VM-Treibercode vorhanden ist, könnte eine Eskalation auf gehosteten Windows-Instanzen Multi-Tenant-Dienste beeinträchtigen. Überprüfen Sie die spezifischen Angaben des Anbieters.
Sofortmaßnahme: Die Behebung dieser Zero-Day-Lücke muss die absolute Priorität in Ihrem Patch-Management-Prozess sein.
Microsoft Office Remote Code Execution (CVE-2025-62199)
Ein Use-after-free-Fehler in der Dokumentenverarbeitung und der Vorschau von Office kann es einem Angreifer ermöglichen, einen Benutzer dazu zu bringen, eine manipulierte Datei zu öffnen oder in der Vorschau anzuzeigen, um beliebigen Code innerhalb des Office-Prozesses auszuführen. Das Problem wird als kritisch eingestuft; die Sicherheitsempfehlung enthält keinen öffentlichen Proof-of-Concept und es wurden keine Exploits in freier Wildbahn beobachtet.
Technische Zusammenfassung
- Grundursache: Ein Use-after-free-Fehler (CWE-416), bei dem Office eine Referenz auf bereits freigegebenen Speicher dereferenziert.
- Ein dangling pointer kann wiederverwendet werden, um vom Angreifer kontrollierte Daten zu platzieren oder Funktionszeiger, vtables oder Callback-Ziele zu überschreiben, wodurch die Ausführung von Code im Office-Prozess unter den Berechtigungen des Benutzers ermöglicht wird.
- Typischer Ablauf: Parsen von manipulierten Inhalten, Auslösen einer vorzeitigen Objektfreigabe, während ein Zeiger aktiv bleibt, anschließende Dereferenzierung führt zur Ausführung von vom Angreifer kontrollierten Daten oder zur Übernahme der Kontrollflusssteuerung.
Betroffene Komponenten
Microsoft Office Desktop (Word, Excel, PowerPoint) und alle Office-Komponenten, die denselben Codepfad verwenden, einschließlich der Vorschau-Leiste, der Outlook-Anhangsvorschau und der lokalen Office-Vorschau-Darstellung in OneDrive oder SharePoint.
Ausnutzbarkeit und CVSS
- CVSS 3.1 um 7,8 (kritisch), was die hohen Auswirkungen mit erforderlichen Benutzeraktionen widerspiegelt.
- Angriffsvektor: lokal, über ein manipuliertes Dokument, das geöffnet oder in der Vorschau angezeigt wird (E-Mail-Anhang, freigegebener Link, synchronisierte Datei, Vorschaufenster).
- Komplexität des Angriffs: gering, das Problem ist nicht zeitabhängig und das manipulierte Dokument löst während der Analyse oder Darstellung einen deterministischen Use-after-free-Angriff aus.
- Erforderliche Berechtigungen: keine.
- Benutzerinteraktion: erforderlich, das Opfer muss die Datei öffnen oder in der Vorschau anzeigen.
Angriffsablauf
- Der Angreifer erstellt ein bösartiges Office-Dokument, das den Parser oder Renderer manipuliert, um ein Objekt vorzeitig freizugeben.
- Das Opfer öffnet oder zeigt das Dokument in der Vorschau an und löst damit den anfälligen Codepfad aus.
- Office dereferenziert den freigegebenen Zeiger; vom Angreifer kontrollierte Daten an dieser Adresse verändern den Kontrollfluss und führen zur Ausführung von beliebigem Code im Office-Prozess.
Ziele und Techniken der Nutzlast
- Gängige Nutzlasten: Erzeugen einer Shell, Ablegen eines Downloaders, Ausführen einer Nutzlast der zweiten Stufe oder Durchführen eines reflektierenden Ladens im Speicher, um Artefakte auf der Festplatte zu vermeiden.
- Unterstützende Techniken: Heap-Spraying über eingebettete Inhalte, Return-Oriented Programming zur Umgehung von DEP und Nutzung von Info-Disclosure-Fehlern zur Umgehung von ASLR.
Öffentliche Bekanntgabe und Ausnutzung
- Öffentlicher PoC: zum Zeitpunkt der Bekanntgabe keiner.
- Ausgenutzt in freier Wildbahn: keine gemeldet.
Mögliche Auswirkungen
Vollständige Kompromittierung der Benutzersitzung, mögliche laterale Bewegung, Diebstahl von Anmeldedaten aus LSA oder gespeicherten Office-Anmeldedaten, Persistenz im Speicher. In Verbindung mit einer Erhöhung der Berechtigungen könnte dies zu einer vollständigen Kompromittierung des Hosts oder der Domäne führen. Zu den Folgen gehören das Sammeln von Anmeldedaten von hochwertigen Benutzern, der Einsatz von Ransomware, der Diebstahl von geistigem Eigentum, die Kompromittierung von E-Mail-Konten für Betrugszwecke und der Missbrauch von Vertrauen in nachgelagerten Bereichen.
Prioritätsbewertung
- Warum dies eine hohe Priorität hat: Geringe Komplexität, keine erforderlichen Berechtigungen und gängige Angriffsvektoren wie E-Mail und das Vorschaufenster machen dies attraktiv für Massen-Phishing und gezielte Kampagnen.
- Warum es noch nicht katastrophal ist: Kein öffentlicher Proof-of-Concept und keine bekannten Exploits in freier Wildbahn verringern das unmittelbare Risiko einer massenhaften Ausnutzung, obwohl sich dies schnell ändern kann.
Worst-Case-Szenario
Eine Phishing-Kampagne, die einen zuverlässigen Exploit für diesen Fehler mit einer verfügbaren Kernel-Rechteausweitung kombiniert, würde zu einer großen Anzahl von kompromittierten Benutzern führen und könnte schnell zu einer vollständigen Übernahme des Hosts oder der Domäne eskalieren.
GDI+ Heap-basierter Pufferüberlauf (CVE-2025-60724)
Ein heap-basierter Pufferüberlauf in der Microsoft Graphics-Komponente (GDI+), der beim Parsen von Metadateien ausgelöst wird, kann ohne Benutzerinteraktion aus der Ferne ausgenutzt werden. Eine speziell gestaltete Metadatei, die in ein Dokument eingebettet oder auf einen Dienst hochgeladen wird, der solche Dateien parst oder rendert, kann zur Remote-Codeausführung im Kontext des Zielprozesses führen.
Technische Zusammenfassung
- Schwachstellenklasse: CWE-122, heap-basierter Pufferüberlauf – Speicher auf dem Heap wird über seine Grenzen hinaus beschrieben.
- Mögliche Ursachen basierend auf gängigen GDI+/Metadatei-Mustern: unzureichende Längen- oder Größenvalidierung beim Parsen von Metadatei-Datensätzen; ganzzahlige Arithmetikfehler, die zu unterzuweisenden Puffern führen; fehlende Validierung der Datensatzgrenzen vor dem Kopieren von Zeichnungsbefehlen variabler Länge oder eingebetteten Blobs.
- Die daraus resultierende Speicherbeschädigung ermöglicht es Angreifern, außerhalb einer Heap-Zuweisung zu schreiben, wodurch benachbarte Heap-Metadaten oder Funktionszeiger überschrieben und der Ausführungsfluss kontrolliert werden können.
- Metadateien sind mit einem hohen Risiko verbunden, da sie ausführbare Zeichenbefehle und Strukturen variabler Länge enthalten und ihre Parser komplex sind.
Umfang und Bewertung
- Kernkomponente: Microsoft Graphics Component (GDI+). Betroffen sind alle Windows-Komponenten oder -Anwendungen, die den anfälligen GDI+-Codepfad zum Parsen oder Rendern von Metadateien verwenden.
- CVSS 3.1: 9,8 (kritisch), was eine aus der Ferne ausnutzbare, schwerwiegende und wenig komplexe Schwachstelle widerspiegelt.
Ausnutzbarkeit und Auswirkungen
- Netzwerkvektor und keine Benutzerinteraktion erforderlich, im Gegensatz zu Office-Vorschau-Fehlern, bei denen der Benutzer Dateien öffnen muss. Ein einziger manipulativer Upload kann einen Dateiverarbeitungsserver kompromittieren.
- Die geringe Komplexität der Ausnutzung erhöht das Risiko einer automatisierten Massenausnutzung oder eines wormbaren Verhaltens, wenn ein Exploit erscheint.
- Die Angriffsfläche ist sehr groß, da viele Komponenten von Erst- und Drittanbietern GDI+ verwenden (Thumbnailer, Drucker, Konvertierungsdienste, Cloud-Vorschau-Dienste). Die Kompromittierung eines zentralisierten Dokument-Rendering-Dienstes kann einen einzigen böswilligen Upload in viele kompromittierte Clients oder einen dauerhaften Server-Fußhalt verwandeln.
Öffentliche Bekanntgabe und beobachtete Ausnutzung
- Öffentlicher PoC: keine gemeldet.
- Beobachtete Ausnutzung: keine gemeldet.
Warum dies ein hochkarätiger Pivot-Bug ist
- Kompromittierung eines eigenständigen Servers: Direkte RCE in einem Serverprozess, der mit SYSTEM oder anderen hohen Berechtigungen ausgeführt wird, führt zur vollständigen Kompromittierung des Hosts, zu lateraler Bewegung und zu Datenexfiltration.
- Massenverteilungsvektor: Ein böswilliger Upload, der von einem zentralen Dienst gerendert wird, kann an viele Clients ausgeliefert werden, was eine Kompromittierung der Lieferkette oder der Inhaltsverteilung ermöglicht.
- Verkettung: RCE gefolgt von Memory Dumping oder LSA-Geheimnisextraktion kann eine laterale Ausbreitung mit gesammelten Anmeldedaten ermöglichen.
- Eskalation und Persistenz: RCE in Kombination mit einem Bug zur Erhöhung von Privilegien könnte es Angreifern ermöglichen, persistente Komponenten auf Kernel-Ebene zu installieren oder Sicherheitstools zu manipulieren.
Warum dies dringend Aufmerksamkeit erfordert
- Ein über das Netzwerk erreichbarer RCE ohne Benutzerinteraktion und mit geringer Komplexität gehört zu den gefährlichsten Arten von Schwachstellen. Das Potenzial für Serverkompromittierungen, Auswirkungen auf Mandanten in Multi-Mandanten-Systemen und schnelle Massenausnutzung machen dies zu einer obersten Priorität für die Risikobewertung.
- Exploit-Entwickler müssen noch zuverlässige Allokator- und Interpreter-Manipulationen für alle Windows-Versionen und Schutzmaßnahmen wie CFG, ASLR und DEP entwickeln, was die Waffenbildung verzögern könnte. Historische GDI+- und Bildanalyse-Fehler wurden jedoch oft schnell zu Waffen umfunktioniert.
Mögliche Motive der Angreifer
- Massenkompromittierung, einschließlich Würmern, Cryptominern oder Ransomware.
- Gezielte Angriffe auf die Infrastruktur zur Dokumentendarstellung.
- Angriffe auf die Lieferkette, die weit verbreitete Rendering-Dienste als Waffe einsetzen.
Microsoft SQL Server – Erhöhung von Berechtigungen (CVE-2025-59499)
Eine über das Netzwerk erreichbare SQL-Injection in der Datenbanknamenverarbeitung von SQL Server ermöglicht es einem authentifizierten Benutzer mit geringen Berechtigungen, beliebige Transact-SQL-Befehle einzuschleusen. Eine erfolgreiche Ausnutzung kann zu einer Eskalation der Berechtigungen für das Dienstkonto führen, unter dem SQL Server ausgeführt wird, wodurch möglicherweise sysadmin- oder SYSTEM-Ebene-Kontrolle gewährt wird.
Technische Zusammenfassung
- Schwachstellenklasse: CWE-89, SQL-Injection.
- Ursache: Datenbankkennungen (Datenbanknamen) werden bei der Verwendung zum Erstellen von internem T-SQL nicht ordnungsgemäß bereinigt oder parametrisiert, sodass ein Angreifer SQL-Steuerzeichen einbetten kann, die die Ausführung von Befehlen auf Serverseite verändern.
- Auswirkung: Injiziertes T-SQL wird in einem privilegierten Serverkontext ausgeführt, was zu sysadmin-Rechten und der Ausführung von Befehlen auf Serverseite führen kann.
Ausnutzbarkeit
- Basisbewertung: 8,8 (wichtig).
- Angriffsvektor: Netzwerk, über direkte TDS-Verbindungen oder über Anwendungen, die betroffene APIs aufrufen.
- Komplexität des Angriffs: gering, Payloads können deterministisch sein.
- Erforderliche Berechtigungen: gering – Angreifer benötigen eine gültige SQL-Authentifizierung oder die Möglichkeit, sich über ein vertrauenswürdiges Anwendungskonto zu verbinden.
- Benutzerinteraktion: keine, sobald der Angreifer manipulierte Befehle senden kann.
- Ausnutzungsreife: unbewiesen, kein öffentlicher Proof-of-Concept und keine beobachteten Ausnutzungen in freier Wildbahn gemeldet.
Wahrscheinlich betroffene Systeme
SQL Server 2016 SP3, 2017, 2019 und 2022 (gemäß Patch-Tabelle von Microsoft).
Warum dies in Ketten gefährlich ist
- Web-Kompromittierung, dann SQL EoP, wobei eine Web-App-Schwachstelle oder gestohlene Anmeldedaten den ersten Zugriff ermöglichen, der über diesen Fehler auf den Systemadministrator eskaliert wird.
- SQL EoP zur OS-Kontrolle, z. B. durch Verwendung von xp_cmdshell zum Ausführen von Systembefehlen und anschließender Verkettung mit einer Kernel-Elevation für die vollständige System- oder Domänenkontrolle.
- Kompromittierung von Dienstkonten, da viele SQL Server-Instanzen unter Domänenkonten ausgeführt werden, was den Diebstahl von Anmeldedaten und laterale Bewegungen ermöglicht.
- Persistenz und Umgehung durch versteckte Trigger, signierte gespeicherte Prozeduren oder bösartige CLR-Assemblies.
Operative Schwere
Obwohl als Privilegienerweiterung klassifiziert, sind die Auswirkungen auf den Betrieb aufgrund des Netzwerkvektors, der geringen Komplexität und der Möglichkeit einer vollständigen Übernahme der Systemadministrationsrechte ähnlich wie bei einer Remote-Codeausführung auf Datenbankebene. SQL Server enthält häufig die sensibelsten Daten eines Unternehmens, sodass eine erfolgreiche Ausnutzung zu Datendiebstahl, Ransomware und einer weitreichenden lateralen Bewegung führen kann.
Ausblick
Nach der Veröffentlichung der Sicherheitsempfehlung ist mit einer raschen Erforschung des Exploits zu rechnen. SQL-Injection-Vektoren sind oft reproduzierbar, sodass Proof-of-Concepts schnell verfügbar sein können. Diese Schwachstelle stellt ein hohes Risiko für Umgebungen mit gemeinsam genutzten SQL-Servern, flachen Netzwerken oder schwacher Berechtigungsverwaltung dar.
Die Patch Tuesday-Sicherheitsupdates vom November 2025
Nachfolgend finden Sie die vollständige Liste der behobenen Schwachstellen in den Patch Tuesday-Updates vom November 2025.
| Tag | CVE ID | CVE Title | Severity |
|---|---|---|---|
| Azure Monitor Agent | CVE-2025-59504 | Azure Monitor Agent Remote Code Execution Vulnerability | Important |
| Customer Experience Improvement Program (CEIP) | CVE-2025-59512 | Customer Experience Improvement Program (CEIP) Elevation of Privilege Vulnerability | Important |
| Dynamics 365 Field Service (online) | CVE-2025-62211 | Dynamics 365 Field Service (online) Spoofing Vulnerability | Important |
| Dynamics 365 Field Service (online) | CVE-2025-62210 | Dynamics 365 Field Service (online) Spoofing Vulnerability | Important |
| GitHub Copilot and Visual Studio Code | CVE-2025-62453 | GitHub Copilot and Visual Studio Code Security Feature Bypass Vulnerability | Important |
| Host Process for Windows Tasks | CVE-2025-60710 | Host Process for Windows Tasks Elevation of Privilege Vulnerability | Important |
| Microsoft Configuration Manager | CVE-2025-47179 | Configuration Manager Elevation of Privilege Vulnerability | Important |
| Microsoft Dynamics 365 (on-premises) | CVE-2025-62206 | Microsoft Dynamics 365 (On-Premises) Information Disclosure Vulnerability | Important |
| Microsoft Graphics Component | CVE-2025-60724 | GDI+ Remote Code Execution Vulnerability | Important |
| Microsoft Office | CVE-2025-62216 | Microsoft Office Remote Code Execution Vulnerability | Important |
| Microsoft Office | CVE-2025-62199 | Microsoft Office Remote Code Execution Vulnerability | Critical |
| Microsoft Office Excel | CVE-2025-62200 | Microsoft Excel Remote Code Execution Vulnerability | Important |
| Microsoft Office Excel | CVE-2025-62201 | Microsoft Excel Remote Code Execution Vulnerability | Important |
| Microsoft Office Excel | CVE-2025-60726 | Microsoft Excel Information Disclosure Vulnerability | Important |
| Microsoft Office Excel | CVE-2025-62203 | Microsoft Excel Remote Code Execution Vulnerability | Important |
| Microsoft Office Excel | CVE-2025-62202 | Microsoft Excel Information Disclosure Vulnerability | Important |
| Microsoft Office Excel | CVE-2025-60727 | Microsoft Excel Remote Code Execution Vulnerability | Important |
| Microsoft Office Excel | CVE-2025-60728 | Microsoft Excel Information Disclosure Vulnerability | Important |
| Microsoft Office Excel | CVE-2025-59240 | Microsoft Excel Information Disclosure Vulnerability | Important |
| Microsoft Office SharePoint | CVE-2025-62204 | Microsoft SharePoint Remote Code Execution Vulnerability | Important |
| Microsoft Office Word | CVE-2025-62205 | Microsoft Office Remote Code Execution Vulnerability | Important |
| Microsoft Streaming Service | CVE-2025-59514 | Microsoft Streaming Service Proxy Elevation of Privilege Vulnerability | Important |
| Microsoft Wireless Provisioning System | CVE-2025-62218 | Microsoft Wireless Provisioning System Elevation of Privilege Vulnerability | Important |
| Microsoft Wireless Provisioning System | CVE-2025-62219 | Microsoft Wireless Provisioning System Elevation of Privilege Vulnerability | Important |
| Multimedia Class Scheduler Service (MMCSS) | CVE-2025-60707 | Multimedia Class Scheduler Service (MMCSS) Driver Elevation of Privilege Vulnerability | Important |
| Nuance PowerScribe | CVE-2025-30398 | Nuance PowerScribe 360 Information Disclosure Vulnerability | Critical |
| OneDrive for Android | CVE-2025-60722 | Microsoft OneDrive for Android Elevation of Privilege Vulnerability | Important |
| Role: Windows Hyper-V | CVE-2025-60706 | Windows Hyper-V Information Disclosure Vulnerability | Important |
| SQL Server | CVE-2025-59499 | Microsoft SQL Server Elevation of Privilege Vulnerability | Important |
| Storvsp.sys Driver | CVE-2025-60708 | Storvsp.sys Driver Denial of Service Vulnerability | Important |
| Visual Studio | CVE-2025-62214 | Visual Studio Remote Code Execution Vulnerability | Critical |
| Visual Studio Code CoPilot Chat Extension | CVE-2025-62449 | Microsoft Visual Studio Code CoPilot Chat Extension Security Feature Bypass Vulnerability | Important |
| Visual Studio Code CoPilot Chat Extension | CVE-2025-62222 | Agentic AI and Visual Studio Code Remote Code Execution Vulnerability | Important |
| Windows Administrator Protection | CVE-2025-60721 | Windows Administrator Protection Elevation of Privilege Vulnerability | Important |
| Windows Administrator Protection | CVE-2025-60718 | Windows Administrator Protection Elevation of Privilege Vulnerability | Important |
| Windows Ancillary Function Driver for WinSock | CVE-2025-62217 | Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability | Important |
| Windows Ancillary Function Driver for WinSock | CVE-2025-60719 | Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability | Important |
| Windows Ancillary Function Driver for WinSock | CVE-2025-62213 | Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability | Important |
| Windows Bluetooth RFCOM Protocol Driver | CVE-2025-59513 | Windows Bluetooth RFCOM Protocol Driver Information Disclosure Vulnerability | Important |
| Windows Broadcast DVR User Service | CVE-2025-59515 | Windows Broadcast DVR User Service Elevation of Privilege Vulnerability | Important |
| Windows Broadcast DVR User Service | CVE-2025-60717 | Windows Broadcast DVR User Service Elevation of Privilege Vulnerability | Important |
| Windows Client-Side Caching (CSC) Service | CVE-2025-60705 | Windows Client-Side Caching Elevation of Privilege Vulnerability | Important |
| Windows Common Log File System Driver | CVE-2025-60709 | Windows Common Log File System Driver Elevation of Privilege Vulnerability | Important |
| Windows DirectX | CVE-2025-59506 | DirectX Graphics Kernel Elevation of Privilege Vulnerability | Important |
| Windows DirectX | CVE-2025-60716 | DirectX Graphics Kernel Elevation of Privilege Vulnerability | Critical |
| Windows DirectX | CVE-2025-60723 | DirectX Graphics Kernel Denial of Service Vulnerability | Important |
| Windows Kerberos | CVE-2025-60704 | Windows Kerberos Elevation of Privilege Vulnerability | Important |
| Windows Kernel | CVE-2025-62215 | Windows Kernel Elevation of Privilege Vulnerability | Important |
| Windows License Manager | CVE-2025-62208 | Windows License Manager Information Disclosure Vulnerability | Important |
| Windows License Manager | CVE-2025-62209 | Windows License Manager Information Disclosure Vulnerability | Important |
| Windows OLE | CVE-2025-60714 | Windows OLE Remote Code Execution Vulnerability | Important |
| Windows Remote Desktop | CVE-2025-60703 | Windows Remote Desktop Services Elevation of Privilege Vulnerability | Important |
| Windows Routing and Remote Access Service (RRAS) | CVE-2025-62452 | Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability | Important |
| Windows Routing and Remote Access Service (RRAS) | CVE-2025-59510 | Windows Routing and Remote Access Service (RRAS) Denial of Service Vulnerability | Important |
| Windows Routing and Remote Access Service (RRAS) | CVE-2025-60715 | Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability | Important |
| Windows Routing and Remote Access Service (RRAS) | CVE-2025-60713 | Windows Routing and Remote Access Service (RRAS) Elevation of Privilege Vulnerability | Important |
| Windows Smart Card | CVE-2025-59505 | Windows Smart Card Reader Elevation of Privilege Vulnerability | Important |
| Windows Speech | CVE-2025-59507 | Windows Speech Runtime Elevation of Privilege Vulnerability | Important |
| Windows Speech | CVE-2025-59508 | Windows Speech Recognition Elevation of Privilege Vulnerability | Important |
| Windows Speech | CVE-2025-59509 | Windows Speech Recognition Information Disclosure Vulnerability | Important |
| Windows Subsystem for Linux GUI | CVE-2025-62220 | Windows Subsystem for Linux GUI Remote Code Execution Vulnerability | Important |
| Windows TDX.sys | CVE-2025-60720 | Windows Transport Driver Interface (TDI) Translation Driver Elevation of Privilege Vulnerability | Important |
| Windows WLAN Service | CVE-2025-59511 | Windows WLAN Service Elevation of Privilege Vulnerability | Important |