江蘇
關鍵詞
漏洞
漏洞概覽
微軟在2025年12月的"補丁星期二"發布了年度收官安全更新,共修復其生態系統中72個漏洞,包含3個嚴重漏洞和55個重要漏洞。此次更新的焦點在于三處已被公開的0Day漏洞,其中一處已遭活躍利用。
本次更新涵蓋多個組件,包括基于Chromium的Microsoft Edge、Windows Hyper-V、Windows消息隊列以及Windows Defender防火墻服務。
關鍵0Day漏洞詳情
云文件驅動漏洞(CVE-2025-62221)
最緊急的修復針對Windows云文件迷你過濾驅動。該漏洞被標記為CVE-2025-62221,屬于"釋放后重用"類型,攻擊者可借此獲取Windows系統的最高權限——SYSTEM特權。
美國網絡安全和基礎設施安全局(CISA)已將該漏洞列入"已知被利用漏洞目錄",并敦促用戶在2025年12月30日前完成修補。GitHub Copilot漏洞(CVE-2025-64671)
微軟修復了GitHub Copilot for JetBrains中的關鍵遠程代碼執行(RCE)漏洞。該命令注入漏洞可能允許未經認證的攻擊者遠程執行代碼,使這款開發者輔助工具潛在淪為破壞載體。PowerShell注入漏洞(CVE-2025-54100)
第三個0Day漏洞CVE-2025-54100影響Windows PowerShell,該命令注入漏洞同樣允許未授權攻擊者遠程運行代碼。作為緩解措施,微軟為Invoke-WebRequest命令新增了確認提示,當用戶嘗試解析網頁內容時將顯示"安全警告:腳本執行風險",建議使用-UseBasicParsing參數避免腳本代碼執行。
本次更新還修復了微軟生產力套件中的多個關鍵RCE漏洞:
- Outlook(CVE-2025-62562)
:釋放后重用漏洞可導致未認證攻擊者執行代碼
- Office(CVE-2025-62554 & CVE-2025-62557)
:類型混淆和釋放后重用漏洞使用戶面臨遠程攻擊風險
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
