关键要点

• 2025年11月标志着Windows 10扩展安全更新计划的第一个月。如果您计划长期运行Windows 10，请确保已升级到Windows 10版本22H2。
• 本月的Windows操作系统更新是最高优先级，因为它修复了一个已知被利用的CVE（CVE-2025-62215）。
• 来自Adobe和Mozilla的第三方更新已经发布，谷歌Chrome的更新预计很快发布，这意味着Edge浏览器也需要更新。

概述

11月的补丁星期二是Windows 10生命周期终止后的第一个补丁星期二。在Windows 10生命周期终止的背景下，还有一些其他值得注意的产品生命周期终止。例如，Exchange Server受到了更多关注。微软为需要延期的客户宣布了为期6个月的Exchange 2016/2019服务器扩展安全更新选项。然而，他们的指导方针是不依赖此计划，并尽一切努力及时从Exchange迁移到Exchange SE。全球的网络安全机构也合作提供了Microsoft Exchange Server的安全最佳实践指南。

微软本月修复了63个独特的漏洞，包括一个已知被利用的CVE（CVE-2025-62215）。被利用的CVE是Windows内核中的一个权限提升漏洞，攻击者可以利用该漏洞在目标系统上获得SYSTEM级别的权限。本月受影响的产品包括Windows操作系统、Office、SharePoint、SQL Server、Visual Studio、GitHub Copilot和Azure Monitor Agent。

对于第三方更新，Oracle于2025年10月21日发布了季度关键补丁更新。这包括许多更新，其中包含Java。随着Java的发布，一系列Java框架更新也随之而来，包括RedHat OpenJDK、Amazon Corretto、Azul Zulu、Eclipse Adoptium、Adopt OpenJDK等。

补丁星期二的第三方更新包括来自Adobe的八个更新和来自Mozilla的三个更新，谷歌Chrome本月发布了稳定性和性能更新（没有报告CVE）。

微软的被利用漏洞

微软修复了一个权限提升漏洞（CVE-2025-62215），微软已确认该漏洞在野外被利用。该CVE评级为“重要”，CVSS 3.1得分为7.0。该漏洞需要攻击者赢得竞争条件，但如果被利用，攻击者将能够获得受影响系统的SYSTEM权限。该漏洞影响所有当前受支持的Windows操作系统版本和Windows 10扩展安全更新，这意味着在生命周期终止后未使用扩展安全更新运行Windows 10的风险并非假设。请确保您已订阅Windows 10扩展安全更新，并在可能的情况下提供额外的缓解措施。

Ivanti安全公告

Ivanti为11月补丁星期二发布了一份安全公告，解决了三个CVE。针对Ivanti端点管理器的安全公告提供了易受攻击版本的详细信息。此外，该公告提醒Ivanti端点管理器客户，版本2022已于2025年10月底达到生命周期终止。敦促所有Ivanti端点管理器客户升级到2024 SU4以修复这三个漏洞。

有关更多详细信息，您可以在Ivanti博客上查看11月安全更新中提供的更新和信息。

第三方漏洞

• Adobe发布了八个更新，解决了28个CVE。所有八个更新均被列为优先级三。
• Mozilla发布了三个更新，总共解决了29个CVE。
• 谷歌Chrome刚刚发布了一个稳定性和性能更新，但自10月补丁星期二以来已解决了27个CVE。

11月更新优先级

• Windows操作系统是本月的最高优先级，存在一个零日漏洞利用。
• 继续监控您环境中生命周期终止的软件。除了Windows 10生命周期终止外，现在还有一些Office版本以及Exchange已达到生命周期终止。Windows 10生命周期终止后的第一个月就出现了一个影响Windows 10操作系统的零日漏洞。继续运行没有扩展支持的生命周期终止软件的风险是真实存在的，威胁行为者将伺机利用。