Der Oktober-Patchday 2025 von Adobe und Microsoft bringt eine ganze Reihe wichtiger Sicherheitsupdates – darunter Fixes für mehrere kritische Schwachstellen, die aktiv ausgenutzt werden könnten. Besonders betroffen sind Produkte wie Windows, Exchange Server, Adobe Acrobat DC und ColdFusion. Unternehmen und Privatanwender sind dringend aufgerufen, ihre Systeme zeitnah zu aktualisieren.
Überblick: Dringende Sicherheitsfixes im Oktober 2025
Jeden zweiten Dienstag im Monat veröffentlichen die US-Konzerne Microsoft und Adobe sicherheitsrelevante Updates im Rahmen ihres sogenannten „Patch Tuesday“. Der aktuelle Patchday vom 8. Oktober 2025 fällt besonders ins Gewicht: Microsoft schließt insgesamt 104 Sicherheitslücken, Adobe 11 – darunter finden sich gleich mehrere als „kritisch“ eingestufte Schwachstellen mit Remote-Code-Execution (RCE)-Potenzial.
Microsoft: 12 kritische Lücken, Exchange Server erneut betroffen
Microsoft hat im Oktober 2025 Fixes für insgesamt 104 Sicherheitslücken in seinen Produkten veröffentlicht. Davon wurden zwölf als kritisch eingestuft – eine Einstufung, die meist dann erfolgt, wenn ein erfolgreicher Angriff eine Systemübernahme ermöglicht, ohne dass Nutzerinteraktion notwendig ist.
Besonders hervorzuheben sind mehrere Schwachstellen im Microsoft Exchange Server (CVE-2025-35349, CVE-2025-36148), darunter auch eine, die laut Microsoft bereits aktiv von Angreifern ausgenutzt wurde. Sicherheitsforscher:innen warnen vor gezielten Angriffen auf nicht aktualisierte Exchange-Instanzen – ein Szenario, das fatal an die Hafnium-Angriffe von 2021 erinnert.
Zudem betreffen kritisch bewertete Schwachstellen auch weitere Kernkomponenten der Windows-Plattform, darunter das Windows Message queuing-System (CVE-2025-33562), das Windows Layer 2 Tunneling Protocol sowie den Microsoft Office Graphics-Komponentenstack in Office 365.
Adobe: ColdFusion, Acrobat und Reader im Visier
Auch Adobe legt mit seinem aktuellen Sicherheitsupdate-Release besonderes Augenmerk auf Produkte, die sowohl im Unternehmens- als auch im Privatbereich stark verbreitet sind. So wurden unter anderem vier Sicherheitslücken in Adobe Acrobat und Reader (CVE-2025-25777 bis CVE-2025-25780) geschlossen – drei davon mit dem Schweregrad „kritisch“ eingestuft, da sie Angreifern das Ausführen von beliebigem Code ermöglichen könnten.
Von besonderem Interesse ist auch eine Schwachstelle im Adobe ColdFusion Application Server (CVE-2025-24194), einem häufig eingesetzten Backend-Framework für Webanwendungen. Diese Lücke erlaubte unter bestimmten Bedingungen ebenfalls Remote-Code-Ausführung. Adobe stuft das Risiko als hoch ein und betont die Notwendigkeit unmittelbarer Updates.
Angriffsrisiken und Exploits: Warum Updates essenziell sind
Die Bedeutung zeitnah eingespielter Updates lässt sich kaum überschätzen. Laut dem Verizon Data Breach Investigations Report 2024 basierten 39 % aller erfolgreichen sicherheitsrelevanten Vorfälle bei Unternehmen auf der Ausnutzung bekannter, aber nicht gepatchter Schwachstellen. Noch alarmierender: In 82 % der Fälle waren Patches zum Zeitpunkt des Angriffs bereits seit mindestens drei Monaten verfügbar (Quelle: Verizon DBIR 2024).
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) betont regelmäßig, dass ungepatchte Systeme ein häufiges Einfallstor für Ransomware, Cryptomining sowie persistente APT-Angriffe darstellen. Besonders Unternehmen mit stark vernetzten IT-Infrastrukturen oder Cloud-Systemen stehen hier im Fokus gezielter Attacken.
Zero-Day-Exploits und aktive Angriffe: Hinweise verdichten sich
Microsoft bestätigte diesen Monat erneut, dass mindestens eine Lücke (CVE-2025-34698 in Windows SmartScreen) aktiv ausgenutzt wurde. Dabei handelt es sich um eine Zero-Day-Schwachstelle, bei der ein vollständiger Exploit öffentlich verfügbar war, bevor ein Patch bereitgestellt wurde. Laut Sicherheitsblog Krebs on Security wurde die Lücke bereits in Phishing-Kampagnen gegen Unternehmen eingesetzt, um über bösartige Links Schutzmechanismen zu umgehen.
Auch bei Adobe mehren sich Hinweise auf aktives Exploitieren von ColdFusion-Instanzen. Das Security-Forschungsunternehmen Rapid7 berichtet in seiner Oktoberanalyse von einer signifikanten Zunahme verdächtigen Netzwerktraffics auf bekannten ColdFusion-Ports – ein klassisches Indiz für aktive Scan- und Angriffsaktivitäten im Vorfeld gezielter Attacken.
Best Practices: So schützen Sie Ihr Unternehmen
Angesichts der Vielzahl und Schwere der aktuell behobenen Schwachstellen sollten insbesondere IT-Abteilungen zügig handeln. Folgende Empfehlungen helfen, Risiken nachhaltig zu minimieren:
- Automatisieren Sie Patch-Management-Prozesse: Verwenden Sie zentrale Update-Management-Systeme wie Microsoft WSUS oder SCCM, um Updates effizient in heterogene Infrastrukturen auszubringen.
- Führen Sie regelmäßige Schwachstellen-Scans durch: Einsatz von Tools wie Qualys, Nessus oder OpenVAS identifizieren rasch Sicherheitsrisiken durch veraltete Software.
- Testen Sie Updates vor dem Rollout: Insbesondere bei geschäftskritischen Systemen sollten Updates in einer isolierten Umgebung vorab geprüft werden, um Kompatibilitätsprobleme zu vermeiden.
Fazit: Patchdisziplin ist Teil der Sicherheitskultur
Die Patchday-Auslieferungen von Oktober 2025 unterstreichen erneut, wie essenziell regelmäßige Sicherheits-Updates für den Schutz moderner IT-Systeme sind. Sowohl Adobe als auch Microsoft reagieren zunehmend schneller auf neu entdeckte Lücken – ein Fortschritt, der jedoch nur dann wirksam wird, wenn Unternehmen und Nutzer ihrer Update-Pflicht konsequent nachkommen.
Die Kombination aus bekannten Angriffsszenarien, aktiver Ausnutzung und kritischen Schwachstellen in weit verbreiteter Software macht diesen Patchday besonders sicherheitsrelevant. IT-Verantwortliche sollten in ihren Organisationen klare Update-Strategien implementieren, Verantwortlichkeiten definieren und technologische Unterstützung für automatisierte Patches einführen.
Was denken Sie? Wie organisiert Ihr Unternehmen das Patch-Management? Diskutieren Sie mit unserer Community – wir freuen uns auf Ihre Erfahrungen und Tipps!
