微软2025年11月“补丁星期二”版

本周，微软推送了安全更新，修复了其Windows操作系统和支持的软件中的60多个漏洞，其中包括至少一个已被利用的零日漏洞。微软还修复了一个导致部分Windows 10用户无法利用额外一年安全更新的故障。这一点很重要，因为该零日漏洞及其他严重漏洞影响了包括Windows 10在内的所有Windows版本。

本月受影响的的产品包括Windows操作系统、Office、SharePoint、SQL Server、Visual Studio、GitHub Copilot和Azure Monitor Agent。零日威胁涉及Windows内核深处的一个内存损坏漏洞，编号为CVE-2025-62215。尽管该漏洞是零日状态，微软仍将其评定为"重要"而非"严重"级别，因为利用该漏洞需要攻击者已能访问目标设备。 SANS技术研究院研究院长约翰内斯·乌尔里希表示：“这类漏洞通常作为更复杂攻击链的一部分被利用。然而，考虑到先前存在类似的漏洞，利用这个特定漏洞可能相对简单。” Immersive的首席网络安全工程师本·麦卡锡提请注意CVE-2025-60274，这是一个Windows核心图形组件（GDI+）中的严重漏洞，被大量应用程序使用，包括Microsoft Office、处理图像的Web服务器以及无数第三方应用程序。 “针对这个漏洞的补丁应该是组织的最高优先级，“麦卡锡说。“虽然微软评估其为‘利用可能性较低’，但在GDI+这样一个无处不在的库中出现的评分为9.8的漏洞，是一个关键风险。” 微软修补了Office中的一个严重漏洞——CVE-2025-62199——该漏洞可能导致在Windows系统上远程执行代码。Action1的首席执行官兼联合创始人亚历克斯·沃夫克表示，这个Office漏洞具有高优先级，因为它复杂性低、无需特权，并且仅通过在预览窗格中查看一个恶意构造的消息就可能被利用。 微软本月解决的许多更值得关注的漏洞影响了Windows 10，这是一个微软已于上月正式停止提供补丁支持的操作系统。然而，随着该截止日期的到来，微软开始为Windows 10用户提供额外一年的免费更新，前提是他们将PC注册到一个活动的微软账户。 根据上月"补丁星期二"帖子下的评论判断，这个注册对许多Windows 10用户有效，但一些读者报告说从未获得额外一年更新的选项。Nightwing的网络事件响应经理尼克·卡罗尔指出，微软最近发布了一个带外更新，以解决尝试注册Windows 10消费者扩展安全更新计划时出现的问题。 “如果您计划参与该计划，请确保更新并安装KB5071959以解决注册问题，“卡罗尔说。“安装完成后，用户应该能够安装其他更新，例如今天的KB5068781，这是Windows 10的最新更新。” Ivanti的克里斯·戈特尔指出，除了今天的微软更新，Adobe和Mozilla的第三方更新已经发布。此外，预计很快会有Google Chrome的更新，这意味着Edge也将需要自己的更新。 SANS互联网风暴中心有一个可点击的微软每个单独修复的分项说明，按严重程度和CVSS分数索引。参与在部署前测试补丁的企业Windows管理员应密切关注askwoody.com，该网站通常会提供任何出错的更新的详细信息。 一如既往，请不要忘记定期备份您的数据（如果不是整个系统），并且如果在安装任何这些修复程序时遇到问题，请在评论中畅所欲言。