微软2025年11月补丁星期二：60余个漏洞修复与零日威胁分析

微软2025年11月补丁星期二发布

本周微软推送了安全更新，修复了Windows操作系统和支持软件中的60多个漏洞，其中包括至少一个已被利用的零日漏洞。微软还修复了阻止部分Windows 10用户获取额外一年安全更新的故障，这一点很重要，因为该零日漏洞和其他关键漏洞影响包括Windows 10在内的所有Windows版本。

本月受影响的产品包括Windows操作系统、Office、SharePoint、SQL Server、Visual Studio、GitHub Copilot和Azure Monitor Agent。零日威胁涉及Windows内部深处的一个内存损坏漏洞CVE-2025-62215。尽管该漏洞是零日状态，微软仍将其评级为"重要"而非"严重"，因为利用它需要攻击者已获得对目标设备的访问权限。

SANS技术研究院研究院长Johannes Ullrich表示：“这类漏洞通常作为更复杂攻击链的一部分被利用。然而，考虑到先前存在类似漏洞，利用这个特定漏洞可能相对简单。”

Immersive首席网络安全工程师Ben McCarthy提醒关注CVE-2025-60274，这是Windows核心图形组件(GDI+)中的一个关键弱点，被大量应用程序使用，包括Microsoft Office、处理图像的Web服务器和无数第三方应用程序。

McCarthy说：“这个补丁应该是组织的最高优先级。虽然微软评估其’被利用可能性较低’，但在GDI+这样无处不在的库中出现9.8分漏洞是严重风险。”

微软修复了Office中的一个关键漏洞CVE-2025-62199，可能导致Windows系统上的远程代码执行。Action1首席执行官兼联合创始人Alex Vovk表示，这个Office漏洞是高度优先项，因为它复杂度低，不需要特权，只需在预览窗格中查看恶意消息即可被利用。

微软本月解决的许多更令人担忧的漏洞影响Windows 10，这个操作系统微软上个月已正式停止补丁支持。然而，随着最后期限临近，微软开始为Windows 10用户提供额外一年的免费更新，只要他们将PC注册到活跃的微软账户。

根据上个月补丁星期二帖子的评论判断，该注册对许多Windows 10用户有效，但一些读者报告从未获得额外一年更新的选项。Nightwing网络事件响应经理Nick Carroll指出，微软最近发布了一个带外更新，以解决尝试注册Windows 10消费者扩展安全更新计划时的问题。

Carroll说：“如果计划参与该计划，请确保更新并安装KB5071959以解决注册问题。安装后，用户应该能够安装其他更新，如今天的KB5068781，这是Windows 10的最新更新。”

Ivanti的Chris Goettl指出，除了今天的微软更新，Adobe和Mozilla的第三方更新已经发布。此外，Google Chrome的更新预计很快发布，这意味着Edge也将需要自己的更新。

SANS互联网风暴中心有一个可点击的微软各修复项细分，按严重程度和CVSS分数索引。参与在部署前测试补丁的企业Windows管理员应关注askwoody.com，该网站经常提供有关任何出错更新的最新信息。