本周,微软推送了一系列安全更新,修复了其Windows操作系统及支持软件中的60多个漏洞,其中包括至少一个已被利用的零日漏洞。此外,微软还修复了一个导致部分Windows 10用户无法享受额外一年安全更新的漏洞。值得庆幸的是,今天修复的零日漏洞和其他一些严重缺陷会影响所有Windows版本,包括Windows 10。
本月受影响的产品包括 Windows 操作系统、 Office 、 SharePoint 、 SQL Server 、 Visual Studio 、 GitHub Copilot和Azure Monitor Agent 。此次零日漏洞威胁涉及 Windows 系统内部深处的一个内存损坏漏洞,漏洞编号为CVE-2025-62215 。尽管该漏洞属于零日漏洞,但微软将其评级为“重要”而非“严重”,因为利用该漏洞需要攻击者事先获得目标设备的访问权限。
“这类漏洞通常是更复杂攻击链的一部分,” SANS技术研究所研究主任约翰内斯·乌尔里希表示,“然而,鉴于之前存在类似的漏洞,利用这个特定漏洞可能相对容易。”
Immersive的首席网络安全工程师Ben McCarthy指出, CVE-2025-60274是一个关键漏洞,它存在于 Windows 核心图形组件 (GDI+) 中,被大量应用程序使用,包括 Microsoft Office、处理图像的 Web 服务器和无数第三方应用程序。
“修复此漏洞应该是各组织机构的首要任务,”麦卡锡说。“虽然微软评估此漏洞‘利用可能性较低’,但像 GDI+ 这样应用广泛的库中存在 9.8 分的漏洞,仍然是一个重大风险。”
微软修复了Office中的一个严重漏洞——CVE-2025-62199——该漏洞可能导致在 Windows 系统上执行远程代码。Action1的首席执行官兼联合创始人Alex Vovk表示,这个 Office 漏洞优先级很高,因为它复杂度低,无需任何权限,只需在预览窗格中查看一条带有陷阱的消息即可利用。
微软本月修复的许多较为严重的漏洞都影响Windows 10操作系统,而微软上个月已正式停止为该操作系统提供补丁支持。然而,随着停止支持的截止日期临近,微软开始为Windows 10用户提供额外一年的免费更新,前提是他们将电脑注册到有效的微软账户。
从上个月“补丁星期二”帖子下的评论来看,该注册方法对很多 Windows 10 用户都有效,但也有一些读者反映,他们从未看到过额外一年更新的选项。Nightwing的网络安全事件响应经理Nick Carroll指出,微软最近发布了一项紧急更新,以解决尝试注册 Windows 10 消费者扩展安全更新计划时遇到的问题。
卡罗尔说:“如果您计划参与该计划,请务必更新并安装KB5071959以解决注册问题。安装完成后,用户应该能够安装其他更新,例如今天发布的 KB5068781,这是 Windows 10 的最新更新。”
Ivanti的Chris Goettl指出,除了微软今天发布的更新之外, Adobe和Mozilla的第三方更新也已经发布。此外,谷歌 Chrome的更新预计很快也会推出,这意味着Edge也需要更新。
SANS互联网风暴中心提供了微软每个修复程序的详细分析,并按严重性和CVSS评分进行索引。参与补丁测试的企业Windows管理员在发布补丁前应密切关注askwoody.com ,该网站通常会提供任何出现问题的更新的详细信息。
和以往一样,请定期备份您的数据(如果不是整个系统),如果您在安装这些修复程序时遇到问题,请随时在评论中提出。
【作者注:本文原计划于11月11日星期二发布在首页。我至今仍不清楚具体原因,但这篇文章当天未能发布。对此我深表歉意。】
原文: https://krebsonsecurity.com/2025/11/microsoft-patch-tuesday-november-2025-edition/