關(guān)鍵詞

漏洞

漏洞概覽

微軟在2025年12月的"補(bǔ)丁星期二"發(fā)布了年度收官安全更新，共修復(fù)其生態(tài)系統(tǒng)中72個漏洞，包含3個嚴(yán)重漏洞和55個重要漏洞。此次更新的焦點(diǎn)在于三處已被公開的0Day漏洞，其中一處已遭活躍利用。

本次更新涵蓋多個組件，包括基于Chromium的Microsoft Edge、Windows Hyper-V、Windows消息隊列以及Windows Defender防火墻服務(wù)。

關(guān)鍵0Day漏洞詳情

1. 云文件驅(qū)動漏洞（CVE-2025-62221）
   最緊急的修復(fù)針對Windows云文件迷你過濾驅(qū)動。該漏洞被標(biāo)記為CVE-2025-62221，屬于"釋放后重用"類型，攻擊者可借此獲取Windows系統(tǒng)的最高權(quán)限——SYSTEM特權(quán)。
   美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）已將該漏洞列入"已知被利用漏洞目錄"，并敦促用戶在2025年12月30日前完成修補(bǔ)。

2. GitHub Copilot漏洞（CVE-2025-64671）
   微軟修復(fù)了GitHub Copilot for JetBrains中的關(guān)鍵遠(yuǎn)程代碼執(zhí)行（RCE）漏洞。該命令注入漏洞可能允許未經(jīng)認(rèn)證的攻擊者遠(yuǎn)程執(zhí)行代碼，使這款開發(fā)者輔助工具潛在淪為破壞載體。

3. PowerShell注入漏洞（CVE-2025-54100）
   第三個0Day漏洞CVE-2025-54100影響Windows PowerShell，該命令注入漏洞同樣允許未授權(quán)攻擊者遠(yuǎn)程運(yùn)行代碼。作為緩解措施，微軟為Invoke-WebRequest命令新增了確認(rèn)提示，當(dāng)用戶嘗試解析網(wǎng)頁內(nèi)容時將顯示"安全警告：腳本執(zhí)行風(fēng)險"，建議使用-UseBasicParsing參數(shù)避免腳本代碼執(zhí)行。

本次更新還修復(fù)了微軟生產(chǎn)力套件中的多個關(guān)鍵RCE漏洞：

• Outlook（CVE-2025-62562）

  ：釋放后重用漏洞可導(dǎo)致未認(rèn)證攻擊者執(zhí)行代碼

• Office（CVE-2025-62554 & CVE-2025-62557）

  ：類型混淆和釋放后重用漏洞使用戶面臨遠(yuǎn)程攻擊風(fēng)險

安全圈

網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全

實(shí)時資訊一手掌握！

好看你就分享 有用就點(diǎn)個贊

支持「安全圈」就點(diǎn)個三連吧！