2025年12月安全更新回顾

这是2025年的最后一个补丁星期二，但其重要性丝毫不减。让我们暂时放下假期计划，一同回顾Adobe和微软发布的最新安全更新。如果您想观看涵盖整个发布内容的完整视频回顾，可以点击此处查看。

Adobe 2025年12月补丁

12月，Adobe发布了五份公告，修复了Adobe Reader、ColdFusion、Experience Manager、Creative Cloud Desktop以及Adobe DNG软件开发工具包（SDK）中的139个独特CVE。请不要被这个庞大的CVE数量吓到。其中大部分是Adobe Experience Manager中简单的跨站脚本（XSS）漏洞。不过，其中也包含一些关键级别的基于DOM的XSS漏洞，因此绝不可忽视此补丁——只是不必对CVE数量感到恐慌。

我也不会对ColdFusion的更新感到恐慌，但Adobe确实将此修复的部署优先级设为1。他们指出，目前尚未发现针对这些CVE的已知活跃攻击，但本次修复了多个可能导致任意代码执行的漏洞。另外，如果您正在运行ColdFusion，请务必查看其锁定指南之一。针对ColdFusion 2025的指南可以在此处找到。

Adobe Reader的更新比预期要小，仅修复了四个CVE中的两个，且这两个可导致代码执行。我并非在抱怨——只是原本期待更多。Adobe DNG软件开发工具包的补丁也修复了四个CVE，其中一个可导致代码执行。最后，Creative Cloud Desktop的更新修复了一个评级为“重要”的漏洞。

Adobe本月修复的所有漏洞在发布时均未被列为公开已知或正遭受活跃攻击。除了ColdFusion的修复外，Adobe本月发布的所有更新均被列为部署优先级3。

微软 2025年12月补丁

微软在本年度结束时，针对Windows及Windows组件、Office及Office组件、Microsoft Edge（基于Chromium）、Exchange Server、Azure、Copilot、PowerShell和Windows Defender发布了区区56个新CVE。其中一个漏洞是通过ZDI项目提交的。在今天发布的补丁中，三个评级为“关键”，其余评级为“重要”。算上发布说明中列出的第三方Chromium更新，CVE总数达到70个。

加上今天发布的CVE，微软在2025年修补的CVE总数达到1,139个。再次说明，这不包括本月早些时候发布的针对Azure Linux和CBL Mariner的大量更新，因为这些应视为应用于Azure属性的Linux CVE。这使得2025年成为修补数量第二多的年份，仅比2020年少111个CVE。随着微软产品组合的持续扩大以及AI漏洞日益普遍，这个数字在2026年很可能进一步攀升。

微软列出了一个正遭受活跃攻击的漏洞，但另外两个在发布时被列为公开已知。让我们仔细看看本月一些更有意思的更新，从正遭受活跃攻击的漏洞开始：

• CVE-2025-62221 - Windows Cloud Files Mini Filter Driver 特权提升漏洞 这是本月唯一被列为正遭受活跃攻击的漏洞，并且——至少表面上看——与10月修补的一个漏洞相似。然而，10月的那个漏洞是竞争条件，而这个是释放后使用（UAF）。它允许攻击者在受影响的系统上执行特权提升。这类漏洞常与代码执行漏洞结合以完全控制系统。它似乎影响所有受支持的Windows版本，因此如果您必须确定优先级，此漏洞应位于列表首位。

• CVE-2025-62554/62557 - Microsoft Office 远程代码执行漏洞 我们又来了，看到两个Office漏洞，其中预览窗格是攻击媒介。对于计数的人来说（比如我），这已经是连续第11个月出现评级为“关键”的Office漏洞，且预览窗格作为攻击媒介。如果您是Mac用户，那就不走运了，因为针对Office LTSC for Mac 2021和2024的更新尚不可用。希望微软能在漏洞利用开始前发布这些更新。

• CVE-2025-62562 - Microsoft Outlook 远程代码执行漏洞 乍一看，我以为这是另一个预览窗格问题，但并非如此。实际上，此漏洞仅对SharePoint Enterprise Server 2016评级为“关键”——对其他所有平台评级为“重要”。然而，所有受影响平台的CVSS评分相同（7.8）。对于此漏洞，攻击者需要诱使用户回复一封特制电子邮件。尚不清楚为何在SharePoint 2016上情况更糟，但如果您在企业中运行此版本，请不要跳过此更新。

• CVE-2025-64671 - GitHub Copilot for Jetbrains 远程代码执行漏洞 这是被列为公开已知的漏洞，它是Copilot中的一个命令注入漏洞，允许未经授权的用户在受影响的系统上执行其代码。它被列为本地漏洞，但远程攻击者很可能会通过社会工程手段诱使某人触发命令注入。通过利用不受信任文件或模型上下文协议（MCP）服务器中的恶意跨提示注入，攻击者可以将额外命令附加到用户终端自动批准设置允许的命令上，从而在没有进一步确认的情况下执行这些命令。我预计在2026年还会看到更多此类漏洞。

以下是微软2025年12月发布的CVE完整列表：

* 表示此CVE已由第三方发布，现被纳入微软发布中。 † 表示需要进一步的管理操作才能完全解决该漏洞。

既然我们已经涵盖了所有评级为“关键”的CVE，让我们直接深入查看12月发布中修补的其他代码执行漏洞。不出所料，大多数是与Office相关的“打开即拥有”漏洞，其中预览窗格不是攻击媒介。还有现在无处不在的RRaS服务漏洞。Windows弹性文件系统（ReFS）中存在一个由于堆溢出导致的漏洞，可通过网络访问，但需要进行身份验证。这与Azure Monitor中的漏洞类似。根据微软的说法，“拥有对运行Azure Monitor的Azure Linux虚拟机的本地网络访问权限的攻击者可以利用堆溢出将权限提升至syslog用户，从而能够执行任意命令。” PowerShell漏洞的修复是本月的另一个公开已知漏洞，仅打补丁是不够的。该漏洞本身是一个简单的命令注入，但在应用更新后，当您使用Invoke-WebRequest命令时，将收到安全警告消息。安装补丁后您可能还需要重启，请确保完成重启以完全解决该漏洞。

接下来看看本月获得补丁的特权提升漏洞，大多数只是在经过身份验证的用户运行特制代码时，导致SYSTEM级别的代码执行或管理权限。Windows Shell中的漏洞可能导致代码执行完整性级别的提升——从低完整性提升到中完整性，以逃逸AppContainer隔离。RRAS中的漏洞需要经过身份验证且加入域的用户，但它可能允许攻击者在目标系统上执行代码。Brokering File System中有一个奇怪的漏洞被列为特权提升，但描述起来像是拒绝服务（DoS）。标准用户可以通过UAF使系统崩溃。这听起来确实像是本地DoS。最后，Exchange服务器中有一个由美国国家安全局（NSA）报告的漏洞。微软表示利用的可能性不大，但毕竟是NSA。要利用此漏洞似乎需要做相当多的准备工作，但毕竟是NSA。此外，Exchange Server 2016和2019的更新不可用，因为它们已停止支持。如果您仍在使用这些版本，则需要升级到扩展安全更新（ESU）计划。

说到Exchange，服务器中还有一个欺骗漏洞，允许攻击者欺骗显示给用户的“发件人”电子邮件地址。此漏洞并非由NSA报告，但这种UI误传仍可能被攻击者用于欺骗关键信息。为微软决定修复此问题点赞。本月修复的另一个欺骗漏洞位于SharePoint中，表现为跨站脚本（XSS）漏洞。

本月只有四个信息泄露漏洞获得补丁，幸运的是，所有这些漏洞仅导致未指定的内存内容或内存地址的信息泄露。Windows Defender中的漏洞还要求攻击者属于特定的用户组。

12月发布包含对三个拒绝服务（DoS）漏洞的修复，其描述与我们在11月发布中看到的类似。虽然它们都指出攻击者可以通过网络（或本地）对该组件造成拒绝服务，但两个DirectX Graphics Kernel漏洞指出，低权限的Hyper-V客户端可利用它们导致Hyper-V环境发生DoS。尚不清楚这将如何发生，但如果您正在运行Hyper-V，请不要忽视这些补丁。

本月没有发布新的公告。

展望未来

我们将在2026年1月13日重新开始修补过程，届时我将带着对发布的分析和想法回来。在那之前，祝大家圣诞/光明节/宽扎节快乐，注意安全，修补愉快，愿所有重启都顺利无误！