2025年11月补丁星期二：63个CVE中的1个零日漏洞和5个关键漏洞

微软在其2025年11月安全更新中修复了63个漏洞，几乎是10月份创纪录的172个补丁的三分之一。本月更新修复了一个被积极利用的零日漏洞和五个关键漏洞，以及57个不同严重级别的漏洞。本月没有公开披露的漏洞。

Windows 10扩展安全更新开始

在检查11月补丁之前，我们必须注意到本月是Windows 10在2025年10月14日终止支持后的第一个扩展安全更新（ESU）版本。仍在运行Windows 10的组织必须注册ESU计划才能接收安全更新，微软要求主机升级到22H2版本才能获得资格。对于遇到注册问题的用户，微软发布了一个带外更新来解决阻止ESU注册的错误。更多信息可以在这里找到。

2025年11月风险分析

本月按利用技术分类的主要风险类型是权限提升（29个补丁，占46%）、远程代码执行（RCE）（16个补丁，占25%）和信息披露（11个补丁，占18%）。

微软Windows本月收到最多补丁，有39个，其次是Microsoft Office有12个，开发工具有5个。

Windows内核中的零日漏洞

CVE-2025-62215是一个影响Windows内核的重要权限提升漏洞，CVSS评分为7.0。该漏洞允许经过身份验证的低权限本地攻击者通过本地访问系统，利用Windows内核中的竞争条件弱点将其权限提升到SYSTEM级别。

有证据表明该漏洞在野外被积极利用。微软将发现归功于微软威胁情报中心（MSTIC）和微软安全响应中心（MSRC），但没有分享有关该漏洞如何被利用的详细信息。该漏洞影响所有受支持的Windows系统版本，需要本地访问、低权限且无需用户交互即可利用。微软指出攻击复杂性很高。

当成功利用时，攻击者可以通过赢得竞争条件获得SYSTEM权限，可能允许他们完全破坏受影响Windows系统的机密性、完整性和可用性。这标志着2025年Windows内核中修复的第11个权限提升漏洞，其中五个在2025年10月补丁星期二发布中修复。

表1. Windows内核中的重要零日漏洞

Microsoft图形组件（GDI+）中的关键漏洞

CVE-2025-60724是一个影响Microsoft图形组件（GDI+）的关键远程代码执行漏洞，CVSS评分为9.8，是本月最高严重性评级。该漏洞未被公开披露，也没有在野外被积极利用的证据。

该漏洞允许未经身份验证的远程攻击者通过网络连接利用GDI+中的基于堆的缓冲区溢出弱点执行任意代码。攻击者可以通过诱骗受害者下载并打开包含特制元文件的文档来利用此漏洞。在最坏的情况下，攻击者可以在无需用户交互的情况下，通过上传包含特制元文件的文档在Web服务上利用此漏洞，影响解析包含图形内容文档的系统。

当成功利用时，攻击者可以通过解析包含特制元文件的文档在Web服务上实现远程代码执行或信息披露，可能在无需受害者参与的情况下危害系统。该漏洞影响使用Microsoft图形组件进行文档渲染和图形处理的系统。

表2. Microsoft图形组件（GDI+）中的关键漏洞

Nuance PowerScribe中的关键漏洞

CVE-2025-30398是一个影响Nuance PowerScribe 360和PowerScribe One的关键信息披露漏洞，CVSS评分为8.1。该漏洞未被公开披露，也没有在野外被积极利用的证据。

该漏洞允许未经身份验证的远程攻击者通过网络连接利用Nuance PowerScribe中缺少授权的问题披露敏感信息。它影响多个版本的Nuance PowerScribe 360（版本4.0.1至4.0.9）和PowerScribe One（版本2019.1至2019.10，以及2023.1 SP2补丁7），并且可以远程利用，攻击复杂性低，不需要权限但需要用户交互。

当成功利用时，攻击者可以在用户发起连接后通过向特定端点发出API调用来披露PowerScribe配置设置，可能导致受影响系统上的重大机密性和完整性损失。

表3. Nuance PowerScribe中的关键漏洞

Microsoft Office中的关键漏洞

CVE-2025-62199是一个影响Microsoft Office的关键远程代码执行漏洞，CVSS评分为7.8。该漏洞允许未经身份验证的本地攻击者通过本地访问系统，利用Microsoft Office中的释放后使用弱点执行任意代码，需要用户交互。

该漏洞未被公开披露，也没有在野外被积极利用的证据。该漏洞影响Microsoft 365企业应用（32位和64位）、Microsoft Office LTSC 2021和2024（32位和64位）、Microsoft Office 2016（32位和64位）、Microsoft Office LTSC for Mac 2021和2024，以及Microsoft Office for Android。利用需要本地访问，攻击复杂性低，不需要权限但需要用户交互。

当成功利用时，攻击者可以在用户打开恶意文件时实现任意代码执行。预览窗格是该漏洞的攻击向量，延续了2023-2025年类似Office漏洞中观察到的模式（2023年4月、2023年7月、2023年12月、2024年10月、2025年1月、2025年2月、2025年4月、2025年6月、2025年9月）。

表4. Microsoft Office中的关键漏洞

DirectX图形内核中的关键漏洞

CVE-2025-60716是一个影响DirectX图形内核的关键权限提升漏洞，CVSS评分为7.0。该漏洞允许经过身份验证的低权限本地攻击者通过本地访问系统，利用Windows DirectX中的释放后使用弱点将其权限提升到SYSTEM级别。

该漏洞未被公开披露，也没有在野外被积极利用的证据。该漏洞影响所有受支持的Windows版本，包括Windows 10（版本1809、21H2和22H2）、Windows 11（版本23H2、24H2和25H2）以及Windows Server 2019、2022和2025（包括Server Core安装）。利用需要本地访问，攻击复杂性高，需要低权限但无需用户交互。

当成功利用时，攻击者可以通过赢得竞争条件获得SYSTEM权限，可能允许他们完全破坏受影响Windows系统的机密性、完整性和可用性。

表5. DirectX图形内核中的关键漏洞

Visual Studio中的关键漏洞

CVE-2025-62214是一个影响Microsoft Visual Studio 2022版本17.14的关键远程代码执行漏洞，CVSS评分为6.7。该漏洞允许经过身份验证的高权限本地攻击者通过本地访问系统，利用Visual Studio中的命令注入弱点执行任意代码。

该漏洞未被公开披露，也没有在野外被积极利用的证据。该漏洞需要本地访问才能利用，攻击复杂性高，需要高权限但无需用户交互。

当成功利用时，攻击者可以通过涉及提示注入、Copilot代理交互和触发构建的多步骤过程实现任意代码执行。

表6. Visual Studio 2022中的关键漏洞

Falcon平台中的补丁星期二仪表板

要可视化查看受本月漏洞影响的系统，您可以使用我们的补丁星期二仪表板。这可以在CrowdStrike Falcon®平台中的"暴露管理 > 漏洞管理 > 仪表板"页面找到。预设仪表板显示最近三个月的补丁星期二漏洞。

并非所有相关漏洞都有补丁：考虑缓解策略

正如我们从其他值得注意的漏洞（如Log4j）中学到的那样，并非每个高度可利用的漏洞都可以轻松修补。与ProxyNotShell漏洞的情况一样，制定一个应对计划来防御没有修补协议的环境至关重要。

定期审查您的修补策略仍然应该是您计划的一部分，但您还应该更全面地审视组织的网络安全方法，并改善整体安全状况。

CrowdStrike Falcon平台每天定期收集和分析来自部署在176个国家的数百万个传感器的数万亿端点事件。观看此演示以了解Falcon平台的运行情况。

了解更多

了解CrowdStrike Falcon®暴露管理如何帮助您快速轻松地发现和优先处理漏洞及其他类型的暴露。

关于CVSS评分

通用漏洞评分系统（CVSS）是一个免费开放的行业标准，CrowdStrike和许多其他网络安全组织使用它来评估和传达软件漏洞的严重性和特征。CVSS基础评分范围从0.0到10.0，国家漏洞数据库（NVD）为CVSS评分添加了严重性评级。在本文中了解有关漏洞评分的更多信息。

其他资源

有关哪些产品在微软扩展安全更新计划中的更多信息，请参阅供应商指南。了解Falcon暴露管理如何帮助您发现和管理环境中的漏洞和其他暴露。使优先级排序变得轻松高效。观看Falcon暴露管理如何使IT员工能够通过自定义过滤器和团队仪表板提高可见性。了解CrowdStrike Falcon®下一代身份安全产品如何更快地阻止员工身份威胁。通过CrowdStrike® Falcon Prevent™免费试用测试CrowdStrike下一代防病毒软件。