CVE-2025-59508 - Windows语音识别权限提升漏洞
漏洞概述
- 漏洞编号: CVE-2025-59508
- 发布日期: 2025年11月11日
- CNA分配: Microsoft
- 最大严重等级: 重要
- 弱点类型: CWE-362: 使用共享资源的并发执行与不当同步(“竞争条件”)
CVSS评分
CVSS:3.1 向量: AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
- 基础评分: 7.0
- 时序评分: 6.1
影响评估
影响: 权限提升
- 攻击向量: 本地
- 攻击复杂度: 高
- 所需权限: 低
- 用户交互: 无
- 范围: 未改变
- 机密性影响: 高
- 完整性影响: 高
- 可用性影响: 高
漏洞详情
Windows语音识别组件中存在共享资源并发执行不当同步(竞争条件)漏洞,允许经过授权的攻击者在本地提升权限。
可利用性评估
- 公开披露: 否
- 已利用: 否
- 可利用性评估: 不太可能被利用
常见问题解答
攻击者成功利用此漏洞可获得什么权限? 成功利用此漏洞的攻击者可以从低完整性级别提升到中完整性级别。
CVSS指标中攻击复杂度高(AC:H)对此漏洞意味着什么? 成功利用此漏洞需要攻击者赢得竞争条件。
安全更新
以下Windows版本受到影响并已发布安全更新:
| 发布日期 | 产品 | 影响 | 最大严重等级 | 知识库文章 | 构建号 |
|---|---|---|---|---|---|
| 2025年11月11日 | Windows 11版本23H2 for ARM64 | 权限提升 | 重要 | 5068865 | 10.0.22631.6199 |
| 2025年11月11日 | Windows 11版本25H2 for x64 | 权限提升 | 重要 | 5068861, 5068966 | 10.0.26200.7171, 10.0.26200.7092 |
| 2025年11月11日 | Windows Server 2025 | 权限提升 | 重要 | 5068861, 5068966 | 10.0.26100.7171, 10.0.26100.7092 |
| 2025年11月11日 | Windows 10版本22H2 | 权限提升 | 重要 | 5068781 | 10.0.19045.6575 |
(完整列表包含25个受影响Windows版本)
致谢
匿名研究人员
修订历史
- 版本1.0: 2025年11月11日 - 信息发布
免责声明
Microsoft知识库中提供的信息"按原样"提供,不提供任何担保。Microsoft否认所有明示或暗示的担保,包括适销性和特定用途适用性的担保。在任何情况下,Microsoft Corporation或其供应商均不对任何损害承担责