微软补丁星期二 2025年12月

微软发布了补丁，修复了Windows及相关软件中的至少56个安全漏洞，包括一个关键的零日漏洞（CVE-2025-62221），影响Windows 10及更高版本。该漏洞存在于与云应用程序文件访问相关的迷你过滤驱动程序中。微软修复的漏洞总数已达1,129个，创下连续第二年超过一千个漏洞的记录。更新中有三个漏洞获得“关键”评级，包括与Microsoft Office和Outlook相关的漏洞。还修复了JetbrAIns GitHub Copilot插件中的一个远程代码执行缺陷（CVE-2025-64671），攻击者可利用该缺陷执行恶意命令。专家警告，这些漏洞应迅速修复以防止潜在攻击。同时，用户被鼓励主动应用更新并分享更新过程中的问题。

微软今天发布了更新，修复了其Windows操作系统及相关软件中至少56个安全漏洞。2025年最后一次补丁星期二包括一个当前被利用的关键零日漏洞，以及两个公开披露的漏洞。尽管近年来发布的安全更新数量低于正常水平，微软在2025年修复的漏洞总数达到了1,129个，比2024年增加了11.9%。来自Tenable的Satnam Narang表示，今年是微软连续第二年修复超过一千个漏洞，也是他们记录开始以来的第三次。

今天修复的零日漏洞被识别为CVE-2025-62221，这是一种影响Windows 10及更高版本的特权提升缺陷。这一弱点存在于“Windows云文件迷你过滤驱动程序”中，该系统驱动程序对云应用程序访问文件系统功能至关重要。Rapid7的首席软件工程师亚当·巴奈特（Adam Barnett）对此迷你过滤器表示担忧，称：“对像OneDrive、Google Drive和iCloud这样的服务至关重要，即使这些应用未安装，它们仍然是Windows的重要组成部分。”

在今天修复的漏洞中，只有三个获得了微软最严重的“关键”评级：CVE-2025-62554和CVE-2025-62557与Microsoft Office相关，攻击者仅需在预览窗格中查看受损电子邮件即可进行利用。第三个关键漏洞CVE-2025-62562与Microsoft Outlook相关；然而，雷德蒙德指出，预览窗格不是此问题的可行攻击载体。相反，微软警告说，其他非关键的特权提升漏洞是最有可能被利用的，包括CVE-2025-62458、CVE-2025-62470、CVE-2025-62472、CVE-2025-59516和CVE-2025-59517。

Immersive的威胁研究高级总监凯夫·布林（Kev Breen）评论了特权提升漏洞在主机妥协事件中的普遍性。他提到：“我们不知道微软为何将这些漏洞视为更有可能被利用，但许多这些组件在历史上曾被妥协，或者具有足够的技术细节供攻击者将其武器化。”无论它们当前的利用状态如何，布林建议应迅速解决这些问题。

本月修复的另一个显著漏洞是CVE-2025-64671，这是一个在Jetbrains的GitHub Copilot插件中发现的远程代码执行缺陷，微软和GitHub均在使用该插件。此漏洞带来的风险是攻击者可以欺骗语言模型执行引入恶意行为的命令。CVE-2025-64671是一个更大安全问题的一部分，称为IDEsaster，涉及30多个报告的漏洞，存在于主要的AI编码平台中。此外，CVE-2025-54100是一个Windows Server 2008及更高版本中的Windows PowerShell远程代码执行缺陷，允许未经身份验证的攻击者在用户的安全上下文中执行代码。有关今天发布的安全更新的更多见解，用户可以查阅SANS互联网风暴中心提供的汇总，并鼓励他们在评论中分享在应用更新时遇到的任何挑战。