补丁星期二：微软修复正被利用的Windows内核漏洞（CVE-2025-62215）

微软在2025年11月的补丁星期二发布了相对较轻的补丁负载：约60多个漏洞获得修复，其中包括一个正被主动利用的Windows内核漏洞（CVE-2025-62215）。

CVE-2025-62215技术分析

CVE-2025-62215是一个内存损坏问题，源于“Windows内核中使用共享资源进行并发执行时同步不当（竞争条件）”，该漏洞允许本地权限提升至SYSTEM级别。

微软威胁情报中心（MSTIC）和安全响应中心（MSRC）标记了该漏洞的野外利用活动，可能仅限于有限攻击，因为漏洞利用代码功能正常但尚未广泛传播。

趋势科技零日计划威胁感知主管Dustin Childs指出：“值得注意的是这里存在竞争条件，这表明某些竞争条件比其他类型更可靠。恶意软件通常将此类漏洞与代码执行漏洞配对使用，以完全控制系统。”

Ivanti安全产品管理副总裁Chris Goettl指出，该漏洞影响所有当前受支持的Windows操作系统版本和Windows 10扩展安全更新（ESU），这意味着在支持终止后未使用ESU运行Windows 10的风险并非假设性风险。

他建议：“确保订阅Windows 10 ESU并在可能的情况下提供额外的缓解措施。”

微软还为未注册Windows 10扩展安全更新（ESU）计划的消费设备推出了带外更新。该更新修复了可能导致ESU注册向导在注册过程中失败的问题。

Goettl指出，还有其他Windows产品将不再受支持或仅能获得短期支持。

“以Exchange Server为例，它获得了额外关注。微软为需要延期的客户宣布了Exchange 2016/2019服务器的6个月ESU选项。但他们的指导是不要依赖此计划，应尽一切努力及时迁移出Exchange并转向Exchange SE。”

Windows 11家庭版和专业版23H2已到达其“支持终止”日期。

其他值得关注的漏洞

CVE-2025-60724是图形设备接口增强版（GDI+）中基于堆的缓冲区溢出错误，GDI+是Windows应用程序中用于渲染2D矢量图形、图像和文本的子系统。

微软解释：“攻击者可通过诱骗受害者下载并打开包含特制元文件的文档来触发此漏洞。在最坏情况下，攻击者可通过上传包含特制元文件的文档在Web服务上触发此漏洞，无需用户交互。”

该漏洞评级为“严重”，因为它可在无需任何用户交互的情况下导致远程代码执行，且未经身份验证的攻击者可通过低复杂度攻击触发。不过，微软评估其被利用的可能性较低。

Rapid7首席软件工程师Adam Barnett评论：“虽然此漏洞几乎肯定不可蠕虫化，但显然非常严重，对于考虑如何处理本月补丁的任何人来说都绝对是优先事项。”

CVE-2025-62199是Microsoft Office中的释放后使用漏洞，攻击者可利用此漏洞在易受攻击的系统上实现代码执行。

微软指出，利用需要诱骗用户下载并打开恶意文件，但同时声明预览窗格也是一个攻击向量。

Rapid7的Barnett指出：“这确实增加了现实世界利用的概率，因为攻击者无需设法绕过那些关于启用危险内容的烦人警告。仅仅在Outlook中滚动电子邮件列表可能就足够了。”

CVE-2025-62222影响代理人工智能和Visual Studio Code，可能允许未经授权的攻击者通过网络执行代码。

Immersive首席网络安全工程师Ben McCarthy表示：“该漏洞已在Visual Studio Code CoPilot Chat扩展中被识别并修补。此处的攻击链针对开发者的可信环境，是一种新颖且令人担忧的方式。”

“攻击者在代码仓库中制作恶意的GitHub问题。此问题的描述包含隐藏的未净化命令。攻击者随后必须说服开发者以非标准方式与此特定问题交互：‘在攻击者制作的问题上启用特定模式’。此用户操作导致扩展读取并执行恶意问题描述，从而触发命令注入漏洞，导致在用户上下文中的完全远程代码执行。”