微软"补丁星期二",2025年11月版
2025年11月16日
本周,微软推送了安全更新,修复了其Windows操作系统及支持软件中的60多个漏洞,其中包括至少一个已被利用的零日漏洞。微软还修复了一个导致部分Windows 10用户无法利用额外一年安全更新的故障,这很有意义,因为该零日漏洞及其他关键弱点影响着包括Windows 10在内的所有Windows版本。
本月受影响的產品包括Windows操作系统、Office、SharePoint、SQL Server、Visual Studio、GitHub Copilot和Azure Monitor Agent。零日威脅涉及Windows内部深处的一个内存損毀漏洞,编号为CVE-2025-62215。尽管该漏洞处于零日状态,微软仍将其評定為"重要"而非"危急",因為利用它需要攻击者已具有對目標設備的訪問權限。
SANS技術研究所研究主任約翰內斯·烏爾里希表示:"這類漏洞通常被用作更複雜攻擊鏈的一部分。然而,考慮到先前存在類似的漏洞,利用這個特定漏洞可能相對簡單。"
Immersive的首席網絡安全工程師本·麥卡錫提請關注CVE-2025-60274,這是一個核心Windows圖形組件(GDI+)中的關鍵弱點,被大量應用程序使用,包括Microsoft Office、處理圖像的Web服務器以及無數第三方應用程序。
麥卡錫說:"修復這個漏洞應該是組織的最高優先事項。雖然微軟評估其'被利用的可能性較低',但在像GDI+這樣無處不在的庫中出現一個評分9.8的漏洞,是一個關鍵風險。"
微軟修復了Office中的一個關鍵漏洞——CVE-2025-62199——該漏洞可能導致在Windows系統上實現遠程代碼執行。Action1的首席執行官兼聯合創始人亞歷克斯·沃夫克表示,這個Office漏洞是高度優先項,因為它複雜度低,無需特權,僅需在預覽窗格中查看一個經過陷阱處理的消息即可被利用。
微軟本月修復的許多值得關注的漏洞影響Windows 10,這是一個微軟在上個月已正式停止提供補丁支持的作業系統。然而,隨著該截止日期臨近,微軟開始為Windows 10用戶提供額外一年的免費更新,只要他們將PC註冊到一個有效的微軟帳戶即可。
根據上個月"補丁星期二"帖子的評論判斷,該註冊對許多Windows 10用戶有效,但一些讀者報告稱從未提供過額外一年更新的選項。Nightwing的網路事件響應經理尼克·卡羅爾指出,微軟最近發布了一個帶外更新,以解決嘗試註冊Windows 10消費者擴展安全更新計劃時出現的問題。
卡羅爾說:"如果您計劃參與該計劃,請確保更新並安裝KB5071959以解決註冊問題。安裝該更新後,用戶應該能夠安裝其他更新,例如今天的KB5068781,這是Windows 10的最新更新。"
Ivanti的克里斯·戈特爾指出,除了今天的微軟更新,Adobe和Mozilla的第三方更新已經發布。此外,Google Chrome的更新預計很快發布,這意味著Edge也將需要自己的更新。
SANS互聯網風暴中心提供了一個可點擊的微軟單個修復項目明細,按嚴重程度和CVSS分數索引。在部署補丁前進行測試的企業Windows管理員應密切關注askwoody.com,該網站通常會提供任何更新出錯的詳細情況。
一如既往,請不要忘記定期備份您的數據(如果不是整個系統的話),如果在安裝任何這些修復程序時遇到問題,請隨時在評論中發聲。
17poHfDjfGlAr8DSBvF7zbMwJLMjMrTuHKn7QjwOoo6fvtDRqgXCz4EXd2o+ZSzzj66dVTbi5QX35RWAqAxRaHQniwcCZoTL6p4e+1G5e9f6TMER1sZ+gqMVi3d9kqFG
