12月9日微软发布本月份例行更新(Patch Tuesday),总共修补57个安全漏洞,较上个月63个略为减少。根据漏洞的类型来看,权限提升(EoP)漏洞占半数最多,有29个;其次是远程程序代码执行(RCE)漏洞,有19个;其余为资讯泄露(ID)、欺骗,以及拒绝服务(DoS)相关漏洞,分别为4个、3个,以及2个。值得留意的是,本次有3个是零时差漏洞,1个已被用于实际攻击,另外2个在微软修补前已被公开。
其中,已被利用于攻击活动的是CVE-2025-62221,此漏洞出现于Windows云计算文件小型过滤器驱动程序(Windows Cloud Files Mini Filter Driver),为内存释放后再访问利用(Use After Free)形态的漏洞,得到授权的攻击者可用于提升权限,若是成功利用,他们就有机会得到SYSTEM权限,CVSS风险为7.8分。这项漏洞由微软威胁情报中心(MSTIC)与微软安全回应中心(MSRC)通报,究竟攻击者如何利用,微软并未说明。
另外两项修补前已被公开的零时差漏洞,分别是CVE-2025-64671与CVE-2025-54100。其中又以CVE-2025-64671较引起注意,原因在于通报者是Ari Marzuk,他不久前才披露AI集成式开发工具(IDE)一系列漏洞IDEsaster而受到关注。CVE-2025-64671出现于IDE工具Jetbrains的GitHub Copilot延伸组件,为RCE漏洞,不过对于该漏洞带来的影响,微软指出未经授权、位于远程的攻击者,可借由不受信任的文件或MCP服务器,进行跨提示注入攻击(Cross-Prompt Injection Attack,XPIA),而能在本机执行任意程序代码,风险值为8.4。
还有一个已被公开的漏洞CVE-2025-54100,同样是RCE漏洞,也能让未经授权的远程攻击者于本机执行任意程序代码,此漏洞出现在PowerShell,风险值为7.8。
