Вчера состоялся ежегодный «Patch Tuesday» от Microsoft, в рамках которого были выпущены обновления безопасности, устраняющие 56 новых уязвимостей. Таким образом, за 2025 год было исправлено внушительное общее число уязвимостей — 1139. Помимо Windows и Office, исправления коснулись также Azure, Copilot, Defender, Exchange и PowerShell.
Следующее крупное обновление запланировано на 13 января 2026 года. Предлагаем подробнее ознакомиться со всеми исправлениями безопасности продуктов и сервисов Microsoft.
Уязвимости Microsoft Windows
Значительная часть уязвимостей — 38 — приходится на различные версии Windows (Windows 10, Windows 11 и Windows Server), для которых Microsoft по-прежнему выпускает обновления безопасности.
Windows 10 продолжает фигурировать в списке затронутых систем, несмотря на то, что официальная поддержка закончилась в октябре. В отличие от Windows 7, где это не произошло, несмотря на программу ESU (Extended Security Updates).
CVE-2025-62221 — это критическая уязвимость повышения привилегий (Elevation of Privilege, EoP) в драйвере облачного мини-фильтра файлов, которая уже используется в реальных атаках. Успешный злоумышленник может выполнить свой код с правами системного уровня, объединив эту уязвимость использования после освобождения памяти (use-after-free, UAF) с уязвимостью удаленного выполнения кода (Remote Code Execution, RCE), которых немало. Все поддерживаемые версии Windows уязвимы.
С помощью CVE-2025-62454 и CVE-2025-62457 Microsoft исправила еще две уязвимости того же типа, но они пока не эксплуатируются активно.
Хотя в этом месяце нет уязвимостей Windows, классифицированных как критические, Microsoft устранила некоторые потенциально опасные. Например, есть уязвимость EoP и две уязвимости отказа в обслуживании (Denial of Service, DoS) в графическом ядре DirectX. С помощью CVE-2025-54100 Microsoft устранила известную заранее проблемную уязвимость RCE в PowerShell. Служба маршрутизации и удаленного доступа (Routing and Remote Access Service, RRAS) также вновь представлена тремя уязвимостями безопасности, включая CVE-2025-62549 (уязвимость RCE).
Уязвимости Microsoft Office
Microsoft классифицирует две уязвимости Office как критические. По данным Microsoft, одна из них уже используется в реальных атаках. Детали по другим уязвимостям скудны и не поддаются поиску в Security Update Guide.
Microsoft исправила 15 уязвимостей в семействе продуктов Office, включая 14 уязвимостей RCE. Две из этих уязвимостей RCE (CVE-2025-62554 и CVE-2025-62557) Microsoft классифицирует как критические, а вектором атаки служит окно предварительного просмотра. Это означает, что успешная атака может произойти просто при просмотре файла в окне предварительного просмотра, даже если пользователь его фактически не открывал.
Остальные уязвимости Office Microsoft относит к категории высокого риска. В этом случае пользователь должен фактически открыть подготовленный файл, чтобы эксплойт-код сработал («открыть, чтобы завладеть»). Шесть из этих уязвимостей затрагивают Excel, три — Word, по одной — Outlook и Access.
Уязвимости Microsoft Exchange
Microsoft устранила две уязвимости в Exchange Server. CVE-2025-64666 — это уязвимость EoP, о которой Microsoft сообщило АНБ США. Вторая уязвимость, CVE-2025-64667, является уязвимостью спуфинга.
Любой, кто по-прежнему работает с Exchange Server 2016 или 2019, может остаться незащищенным, несмотря на эти обновления, поскольку оба получили последние обновления в октябре. К счастью, существует шестимесячная программа ESU для Exchange, которая продлится до Patch Tuesday в апреле 2026 года.
Уязвимости Microsoft Edge
Последнее обновление безопасности Edge 143.0.3650.66 было выпущено 4 декабря и основано на Chromium 143.0.7499.41. Оно исправляет несколько уязвимостей Chromium. Microsoft также устранила уязвимость, специфичную для Edge (CVE-2025-62223).
Автор – Frank Ziemann
