关键要点

2025年11月标志着Windows 10扩展安全更新计划的第一个月。如果您计划长期运行Windows 10，请确保已升级到Windows 10版本22H2。

本月Windows操作系统更新是最高优先级，因为它解决了一个已知被利用的CVE（CVE-2025-62215）。

Adobe和Mozilla的第三方更新已经发布，Google Chrome的更新预计很快发布，这意味着Edge也需要更新。

补丁星期二概述

11月补丁星期二是Windows 10生命周期结束后的第一个补丁星期二。在Windows 10的阴影下，还有其他一些值得注意的产品生命周期结束。Exchange Server就是其中之一，它获得了额外的关注。微软宣布为需要扩展的客户提供6个月的Exchange 2016/2019服务器ESU选项。然而，他们的指导是不要依赖此程序，并尽一切努力及时迁移出Exchange并转移到Exchange SE。全球网络安全机构也合作提供了Microsoft Exchange Server的安全最佳实践指南。

微软本月解决了63个独特漏洞，包括一个已知被利用的CVE（CVE-2025-62215）。被利用的CVE是Windows内核中的特权提升漏洞，可允许攻击者在目标系统上获得SYSTEM级权限。本月受影响的产品包括Windows操作系统、Office、SharePoint、SQL Server、Visual Studio、GitHub Copilot和Azure Monitor Agent。

对于第三方更新，Oracle于2025年10月21日发布了季度关键补丁更新。这包括许多更新，包括Java。随着Java的发布，出现了一系列Java框架更新，包括RedHat OpenJDK、Amazon Corretto、Azul Zulu、Eclipse Adoptium、Adopt OpenJDK等。

补丁星期二的第三方更新包括来自Adobe的八个和来自Mozilla的三个，Google Chrome本月发布了稳定性和性能更新（未报告CVE）。

微软被利用的漏洞

微软已解决一个特权提升漏洞（CVE-2025-62215），微软已确认在野外被利用。该CVE评级为重要，CVSS 3.1得分为7.0。该漏洞需要攻击者赢得竞争条件，但如果被利用，将允许攻击者在受影响系统上获得SYSTEM权限。该漏洞影响所有当前支持的Windows操作系统版本和Windows 10 ESU，这意味着在没有ESU的情况下运行超过生命周期的Windows 10的风险不是假设的。请确保您订阅了Windows 10 ESU并在可能的情况下提供额外的缓解措施。

Ivanti安全公告

Ivanti为11月补丁星期二发布了一个安全公告，解决了三个CVE。Ivanti Endpoint Manager的安全公告提供了易受攻击版本的详细信息。此外，该公告提醒Ivanti Endpoint Manager客户，版本2022在2025年10月底达到生命周期结束。敦促所有Ivanti EPM客户升级到2024 SU4以修复这三个漏洞。

有关更多详细信息，您可以在Ivanti博客上查看11月安全更新中提供的更新和信息。

第三方漏洞

Adobe发布了八个更新，解决了28个CVE。所有八个更新均评级为优先级三。

Mozilla发布了三个更新，总共解决了29个CVE。

Google Chrome刚刚发布了稳定性和性能更新，但自10月补丁星期二以来已解决了27个CVE。

11月更新优先级

本月Windows操作系统是最高优先级，有一个零日漏洞利用。

继续监控您的环境中的生命周期结束软件。除了Windows 10生命周期结束外，现在还有一些Office版本以及Exchange也已生命周期结束。Windows 10生命周期结束后的第一个月就有一个影响Windows 10操作系统的零日漏洞。继续运行没有扩展支持的生命周期结束软件的风险非常真实，威胁行为者将寻求利用这一点。