关键词
漏洞
漏洞概览
微软在2025年12月的"补丁星期二"发布了年度收官安全更新,共修复其生态系统中72个漏洞,包含3个严重漏洞和55个重要漏洞。此次更新的焦点在于三处已被公开的0Day漏洞,其中一处已遭活跃利用。
本次更新涵盖多个组件,包括基于Chromium的Microsoft Edge、Windows Hyper-V、Windows消息队列以及Windows Defender防火墙服务。
关键0Day漏洞详情
云文件驱动漏洞(CVE-2025-62221)
最紧急的修复针对Windows云文件迷你过滤驱动。该漏洞被标记为CVE-2025-62221,属于"释放后重用"类型,攻击者可借此获取Windows系统的最高权限——SYSTEM特权。
美国网络安全和基础设施安全局(CISA)已将该漏洞列入"已知被利用漏洞目录",并敦促用户在2025年12月30日前完成修补。GitHub Copilot漏洞(CVE-2025-64671)
微软修复了GitHub Copilot for JetBrains中的关键远程代码执行(RCE)漏洞。该命令注入漏洞可能允许未经认证的攻击者远程执行代码,使这款开发者辅助工具潜在沦为破坏载体。PowerShell注入漏洞(CVE-2025-54100)
第三个0Day漏洞CVE-2025-54100影响Windows PowerShell,该命令注入漏洞同样允许未授权攻击者远程运行代码。作为缓解措施,微软为Invoke-WebRequest命令新增了确认提示,当用户尝试解析网页内容时将显示"安全警告:脚本执行风险",建议使用-UseBasicParsing参数避免脚本代码执行。
本次更新还修复了微软生产力套件中的多个关键RCE漏洞:
- Outlook(CVE-2025-62562)
:释放后重用漏洞可导致未认证攻击者执行代码
- Office(CVE-2025-62554 & CVE-2025-62557)
:类型混淆和释放后重用漏洞使用户面临远程攻击风险
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
热门跟贴