微软2025年11月补丁星期二 - 修复零日漏洞及其他62个漏洞
微软已发布其2025年11月补丁星期二更新,解决了其软件系列中的63个安全漏洞。该更新包括对Windows内核中一个零日漏洞的关键修复,该漏洞已被确认在野外被积极利用。
本月发布中最关键的补丁是针对CVE-2025-62215,这是Windows内核中的一个权限提升漏洞。该漏洞被评为"重要"级别,并已在主动攻击中被检测到。成功利用该漏洞可使经过授权的攻击者在受感染系统上获得提升的权限。
由于存在主动利用,强烈建议系统管理员优先部署此补丁,以防止未经授权的系统访问和控制。
关键远程代码执行漏洞
本月的更新解决了五个被评为"严重"的漏洞。其中大多数可能导致远程代码执行,使攻击者能够在目标系统上运行任意代码。关键严重漏洞包括:
- CVE-2025-62199:Microsoft Office中的释放后使用漏洞,可能允许未经授权的攻击者在本地执行代码
- CVE-2025-60724:Microsoft图形组件中的基于堆的缓冲区溢出,允许通过网络进行未经身份验证的远程代码执行
- CVE-2025-62214:Visual Studio中的命令注入漏洞,允许经过授权的攻击者执行代码
- CVE-2025-60716:DirectX图形内核中的释放后使用漏洞,可用于本地权限提升
- CVE-2025-30398:Nuance PowerScribe 360中由于缺少授权检查而导致的信息泄露漏洞
漏洞细分
2025年11月的安全更新涵盖了广泛的产品,包括Microsoft Windows、Office、Azure、Visual Studio和Dynamics 365。漏洞分类如下:
| 影响类型 | 数量 |
|---|---|
| 权限提升 | 29 |
| 远程代码执行 | 16 |
| 信息泄露 | 11 |
| 拒绝服务 | 3 |
| 欺骗 | 2 |
| 安全功能绕过 | 2 |
在63个漏洞中,57个被评为"重要"严重级别。其中几个"重要"漏洞被标记为"更可能被利用",包括CVE-2025-59512(客户体验改善计划权限提升)、CVE-2025-60705(Windows客户端缓存权限提升)以及Windows Ancillary Function Driver for WinSock中的多个漏洞(CVE-2025-60719、CVE-2025-62217和CVE-2025-62213)。
漏洞详情表
| CVE ID | 产品/组件 | 描述 | 影响 |
|---|---|---|---|
| CVE-2025-62199 | Microsoft Office | Microsoft Office中的释放后使用漏洞允许未经授权的攻击者在本地执行代码 | 远程代码执行 |
| CVE-2025-60716 | DirectX图形内核 | Windows DirectX中的释放后使用漏洞允许经过授权的攻击者在本地提升权限 | 权限提升 |
| CVE-2025-60724 | GDI+ | Microsoft图形组件中的基于堆的缓冲区溢出允许未经授权的攻击者通过网络执行代码 | 远程代码执行 |
| CVE-2025-62214 | Visual Studio | Visual Studio中命令中使用的特殊元素的不当中和(命令注入)允许经过授权的攻击者在本地执行代码 | 远程代码执行 |
| CVE-2025-30398 | Nuance PowerScribe 360 | Nuance PowerScribe中缺少授权允许未经授权的攻击者通过网络泄露信息 | 信息泄露 |
| CVE-2025-59504 | Azure Monitor Agent | Azure Monitor Agent中的基于堆的缓冲区溢出允许未经授权的攻击者在本地执行代码 | 远程代码执行 |
| CVE-2025-59505 | Windows智能卡阅读器 | Windows智能卡中的双重释放允许经过授权的攻击者在本地提升权限 | 权限提升 |
| CVE-2025-59506 | DirectX图形内核 | Windows DirectX中使用共享资源的不当同步并发执行(竞争条件)允许经过授权的攻击者在本地提升权限 | 权限提升 |
| CVE-2025-59507 | Windows语音运行时 | Windows语音中使用共享资源的不当同步并发执行(竞争条件)允许经过授权的攻击者在本地提升权限 | 权限提升 |
| CVE-2025-59508 | Windows语音识别 | Windows语音中使用共享资源的不当同步并发执行(竞争条件)允许经过授权的攻击者在本地提升权限 | 权限提升 |
| CVE-2025-59509 | Windows语音识别 | Windows语音中敏感信息插入到发送数据中允许经过授权的攻击者在本地泄露信息 | 信息泄露 |
| CVE-2025-59510 | Windows路由和远程访问服务 | Windows路由和远程访问服务中文件访问前的不当链接解析(链接跟随)允许经过授权的攻击者在本地拒绝服务 | 拒绝服务 |
| CVE-2025-59511 | Windows WLAN服务 | Windows WLAN服务中文件名或路径的外部控制允许经过授权的攻击者在本地提升权限 | 权限提升 |
| CVE-2025-59512 | 客户体验改善计划 | 客户体验改善计划中的不当访问控制允许经过授权的攻击者在本地提升权限 | 权限提升 |
| CVE-2025-59513 | Windows蓝牙RFCOM协议驱动程序 | Windows蓝牙RFCOM协议驱动程序中的越界读取允许经过授权的攻击者在本地泄露信息 | 信息泄露 |
| CVE-2025-60703 | Windows远程桌面服务 | Windows远程桌面中的不可信指针解引用允许经过授权的攻击者在本地提升权限 | 权限提升 |
| CVE-2025-60704 | Windows Kerberos | Windows Kerberos中缺少加密步骤允许未经授权的攻击者通过网络提升权限 | 权限提升 |
| CVE-2025-60705 | Windows客户端缓存 | Windows客户端缓存服务中的不当访问控制允许经过授权的攻击者在本地提升权限 | 权限提升 |
| CVE-2025-60706 | Windows Hyper-V | Windows Hyper-V中的越界读取允许经过授权的攻击者在本地泄露信息 | 信息泄露 |
| CVE-2025-60707 | 多媒体类计划程序服务驱动程序 | 多媒体类计划程序服务中的释放后使用允许经过授权的攻击者在本地提升权限 | 权限提升 |
| CVE-2025-60708 | Storvsp.sys驱动程序 | Storvsp.sys驱动程序中的不可信指针解引用允许经过授权的攻击者在本地拒绝服务 | 拒绝服务 |
| CVE-2025-60709 | Windows通用日志文件系统驱动程序 | Windows通用日志文件系统驱动程序中的越界读取允许经过授权的攻击者在本地提升权限 | 权限提升 |
| CVE-2025-60710 | Windows任务宿主进程 | Windows任务宿主进程中文件访问前的不当链接解析(链接跟随)允许经过授权的攻击者在本地提升权限 | 权限提升 |
| CVE-2025-60726 | Microsoft Excel | Microsoft Office Excel中的越界读取允许未经授权的攻击者在本地泄露信息 | 信息泄露 |
| CVE-2025-60727 | Microsoft Excel | Microsoft Office Excel中的越界读取允许未经授权的攻击者在本地执行代码 | 远程代码执行 |
| CVE-2025-60728 | Microsoft Excel | Microsoft Office Excel中的不可信指针解引用允许未经授权的攻击者通过网络泄露信息 | 信息泄露 |
| CVE-2025-62206 | Microsoft Dynamics 365 | Microsoft Dynamics 365中将敏感信息暴露给未经授权的参与者允许未经授权的攻击者通过网络泄露信息 | 信息泄露 |
| CVE-2025-62210 | Dynamics 365 Field Service | Dynamics 365 Field Service中网页生成期间输入的不当中和(跨站脚本)允许经过授权的攻击者通过网络进行欺骗 | 欺骗 |
| CVE-2025-62216 | Microsoft Office | Microsoft Office中的释放后使用允许未经授权的攻击者在本地执行代码 | 远程代码执行 |
| CVE-2025-60719 | Windows Ancillary Function Driver for WinSock | Windows Ancillary Function Driver for WinSock中的不可信指针解引用允许经过授权的攻击者在本地提升权限 | 权限提升 |
| CVE-2025-60722 | Microsoft OneDrive for Android | OneDrive for Android中路径名到受限目录的不当限制(路径遍历)允许经过授权的攻击者通过网络提升权限 | 权限提升 |
| CVE-2025-62217 | Windows Ancillary Function Driver for WinSock | Windows Ancillary Function Driver for WinSock中使用共享资源的不当同步并发执行(竞争条件)允许经过授权的攻击者在本地提升权限 | 权限提升 |
| CVE-2025-62218 | Microsoft无线配置系统 | Microsoft无线配置系统中使用共享资源的不当同步并发执行(竞争条件)允许经过授权的攻击者在本地提升权限 | 权限提升 |
| CVE-2025-62219 | Microsoft无线配置系统 | Microsoft无线配置系统中的双重释放允许经过授权的攻击者在本地提升权限 | 权限提升 |
| CVE-2025-62220 | Windows Subsystem for Linux GUI | Windows Subsystem for Linux GUI中的基于堆的缓冲区溢出允许未经授权的攻击者通过网络执行代码 | 远程代码执行 |
| CVE-2025-62452 | Windows路由和远程访问服务 | Windows路由和远程访问服务中的基于堆的缓冲区溢出允许经过授权的攻击者通过网络执行代码 | 远程代码执行 |
| CVE-2025-59240 | Microsoft Excel | Microsoft Office Excel中将敏感信息暴露给未经授权的参与者允许未经授权的攻击者在本地泄露信息 | 信息泄露 |
| CVE-2025-47179 | Configuration Manager | Microsoft Configuration Manager中的不当访问控制允许经过授权的攻击者在本地提升权限 | 权限提升 |
| CVE-2025-59514 | Microsoft流媒体服务代理 | Microsoft流媒体服务中的不当权限管理允许经过授权的攻击者在本地提升权限 | 权限提升 |
| CVE-2025-59515 | Windows广播DVR用户服务 | Windows广播DVR用户服务中的释放后使用允许经过授权的攻击者在本地提升权限 | 权限提升 |
| CVE-2025-60713 | Windows路由和远程访问服务 | Windows路由和远程访问服务中的不可信指针解引用允许经过授权的攻击者在本地提升权限 | 权限提升 |
| CVE-2025-60714 | Windows OLE | Windows OLE中的基于堆的缓冲区溢出允许未经授权的攻击者在本地执行代码 | 远程代码执行 |
| CVE-2025-60715 | Windows路由和远程访问服务 | Windows路由和远程访问服务中的基于堆的缓冲区溢出允许经过授权的攻击者通过网络执行代码 | 远程代码执行 |
| CVE-2025-60717 | Windows广播DVR用户服务 | Windows广播DVR用户服务中的释放后使用允许经过授权的攻击者在本地提升权限 | 权限提升 |
| CVE-2025-60718 | Windows管理员保护 | Windows管理员保护中的不可信搜索路径允许经过授权的攻击者在本地提升权限 | 权限提升 |
| CVE-2025-60720 | Windows传输驱动程序接口转换驱动程序 | Windows TDX.sys中的缓冲区过度读取允许经过授权的攻击者在本地提升权限 | 权限提升 |
| CVE-2025-60723 | DirectX图形内核 | Windows DirectX中使用共享资源的不当同步并发执行(竞争条件)允许经过授权的攻击者通过网络拒绝服务 | 拒绝服务 |
| CVE-2025-62200 | Microsoft Excel | Microsoft Office Excel中的不可信指针解引用允许未经授权的攻击者在本地执行代码 | 远程代码执行 |
| CVE-2025-62201 | Microsoft Excel | Microsoft Office Excel中的基于堆的缓冲区溢出允许未经授权的攻击者在本地执行代码 | 远程代码执行 |
| CVE-2025-62202 | Microsoft Excel | Microsoft Office Excel中的越界读取允许未经授权的攻击者在本地泄露信息 | 信息泄露 |
| CVE-2025-62203 | Microsoft Excel | Microsoft Office Excel中的释放后使用允许未经授权的攻击者在本地执行代码 | 远程代码执行 |
| CVE-2025-62204 | Microsoft SharePoint | Microsoft Office SharePoint中不可信数据的反序列化允许经过授权的攻击者通过网络执行代码 | 远程代码执行 |
| CVE-2025-62205 | Microsoft Office | Microsoft Office Word中的释放后使用允许未经授权的攻击者在本地执行代码 | 远程代码执行 |
| CVE-2025-62208 | Windows许可证管理器 | Windows许可证管理器中将敏感信息插入日志文件允许经过授权的攻击者在本地泄露信息 | 信息泄露 |
| CVE-2025-62209 | Windows许可证管理器 | Windows许可证管理器中将敏感信息插入日志文件允许经过授权的攻击者在本地泄露信息 | 信息泄露 |
| CVE-2025-59499 | Microsoft SQL Server | SQL Server中SQL命令中使用的特殊元素的不当中和(SQL注入)允许经过授权的攻击者通过网络提升权限 | 权限提升 |
| CVE-2025-62211 | Dynamics 365 Field Service | Dynamics 365 Field Service中网页生成期间输入的不当中和(跨站脚本)允许经过授权的攻击者通过网络进行欺骗 | 欺骗 |
| CVE-2025-62215 | Windows内核 | Windows内核中使用共享资源的不当同步并发执行(竞争条件)允许经过授权的攻击者在本地提升权限(零日,已被利用) | 权限提升 |
| CVE-2025-62213 | Windows Ancillary Function Driver for WinSock | Windows Ancillary Function Driver for WinSock中的释放后使用允许经过授权的攻击者在本地提升权限 | 权限提升 |
| CVE-2025-62222 | Agentic AI和Visual Studio Code | Visual Studio Code CoPilot Chat Extension中命令中使用的特殊元素的不当中和(命令注入)允许未经授权的攻击者通过网络执行代码 | 远程代码执行 |
| CVE-2025-62449 | Microsoft Visual Studio Code CoPilot Chat Extension | Visual Studio Code CoPilot Chat Extension中路径名到受限目录的不当限制(路径遍历)允许经过授权的攻击者在本地绕过安全功能 | 安全功能绕过 |
| CVE-2025-60721 | Windows管理员保护 | Windows管理员保护中的权限上下文切换错误允许经过授权的攻击者在本地提升权限 | 权限提升 |
| CVE-2025-62453 | GitHub Copilot和Visual Studio Code | GitHub Copilot和Visual Studio Code中生成式AI输出的不当验证允许经过授权的攻击者在本地绕过安全功能 | 安全功能绕过 |
鉴于一个零日漏洞的主动利用以及其他几个漏洞的关键性质,用户和管理员应立即应用这些安全补丁,以保护其系统免受潜在威胁。