微软11月补丁日修复68个漏洞,包含被积极利用的内核零日漏洞
微软已发布2025年11月补丁日更新,共修复68个安全漏洞,其中包括一个已被积极利用的高优先级零日漏洞。这个关键更新包包含5个严重级别和64个重要级别修复,对企业防御即时威胁至关重要。
更新涵盖SQL Server、Windows Hyper-V、Visual Studio、Windows内核、Windows WLAN服务等关键产品。
关键漏洞详情
最紧急的补丁针对Windows内核中的零日漏洞:CVE-2025-62215 - Windows内核权限提升漏洞。这是一个权限提升(EoP)漏洞,成功利用可能允许经过身份验证的攻击者获得SYSTEM权限。攻击者必须赢得竞争条件才能成功利用此漏洞。
除零日漏洞外,还有四个其他漏洞被评为严重级别,存在远程代码执行(RCE)或高级权限提升(EoP)的重大风险。
| CVE ID | 漏洞类型 | 组件 | 攻击向量 |
|---|---|---|---|
| CVE-2025-60724 | 远程代码执行(RCE) | GDI+(微软图形组件) | 未经身份验证的攻击者可通过诱使用户下载并打开特制元文件来利用基于堆的缓冲区溢出 |
| CVE-2025-62199 | 远程代码执行(RCE) | Microsoft Office | 释放后使用漏洞可能允许未经身份验证的攻击者在本地执行代码,需要攻击者发送恶意文件并诱使用户打开 |
| CVE-2025-60716 | 权限提升(EoP) | DirectX图形内核 | Windows DirectX中的释放后使用漏洞可能允许经过身份验证的攻击者将其本地权限提升至SYSTEM,攻击者还必须赢得竞争条件 |
| CVE-2025-62214 | 远程代码执行(RCE) | Visual Studio | 命令注入漏洞可能允许经过身份验证的攻击者在本地执行代码 |
其他重要修复
一个值得注意的重要级别漏洞解决了严重的信息泄露风险:CVE-2025-30398 - Nuance PowerScribe 360信息泄露漏洞。该漏洞源于Nuance PowerScribe中缺少授权。未经身份验证的攻击者可以通过网络发出特定API调用来利用此漏洞,这可能导致服务器上敏感信息的泄露。
微软还修复了其基于Chromium的Edge浏览器中的五个漏洞。
建议措施
鉴于Windows内核零日漏洞已被积极利用,IT团队必须优先考虑并立即部署这些安全补丁。