据PCWorld报道,微软发布了关键安全更新,修复了15个Office漏洞,其中包括14个影响Excel、Word、Outlook和Access的远程代码执行漏洞。其中一个零日漏洞(CVE-2025-62221)已被发现在野外被积极利用,而另外两个高危漏洞仅通过预览恶意文件即可触发。用户必须立即更新,因为这些漏洞构成了严重的安全风险,攻击可能通过Office应用程序中基本的文件交互进行。
昨天是微软的“补丁星期二”,发布了针对56个新漏洞的各种安全更新。这使得2025年全年修复的漏洞总数达到惊人的1139个。除了Windows和Office,这些修复还影响了Azure、Copilot、Defender、Exchange和PowerShell。
下一次重大更新计划于2026年1月13日发布。以下是微软产品和服务中所有安全修复的深入分析。
微软Windows漏洞
本次漏洞中有很大一部分——38个——分布在微软仍提供安全更新的各个Windows版本(Windows 10、Windows 11和Windows Server)中。
Windows 10继续被列为受影响系统,尽管其支持已于10月正式结束。而Windows 7则不然,尽管有扩展安全更新计划。
CVE-2025-62221是云文件迷你筛选器驱动程序中的一个高危权限提升漏洞,已被发现在野外被用于攻击。成功的攻击者甚至可以通过将此释放后重用漏洞与远程代码执行漏洞相结合,以系统级权限执行其代码,而此类远程代码执行漏洞数量众多。所有受支持的Windows版本均易受攻击。
对于CVE-2025-62454和CVE-2025-62457,微软修补了另外两个同类型漏洞,但它们并未被积极利用。
尽管本月没有被归类为“严重”的Windows漏洞,但微软已修复了一些潜在危险的漏洞。例如,DirectX图形核心中存在一个权限提升漏洞和两个拒绝服务漏洞。通过CVE-2025-54100,微软消除了PowerShell中一个先前已公开的、有问题的远程代码执行缺陷。路由和远程访问服务也再次出现了三个安全漏洞,包括CVE-2025-62549。
微软Office漏洞
微软将其中两个Office漏洞归类为严重。据微软称,其中一个已被发现在野外被用于攻击。关于其他漏洞,我们获得的详细信息很少,这些漏洞在安全更新指南中并不容易搜索到。
微软已修复了其Office产品家族中的15个漏洞,其中包括14个远程代码执行漏洞。微软将这些远程代码执行漏洞中的两个(CVE-2025-62554和CVE-2025-62557)归类为严重,预览窗口是攻击媒介。这意味着,成功的攻击可能仅通过点击预览窗口中显示的文件而发生,即使用户从未实际打开它。
微软将其他Office漏洞归类为高风险。对于这些漏洞,用户必须实际打开一个准备好的文件,漏洞利用代码才会生效。其中六个漏洞影响Excel,三个在Word中,Outlook和Access各一个。
微软Exchange漏洞
微软修复了Exchange Server中的两个漏洞。CVE-2025-64666是一个权限提升漏洞,由美国国家安全局报告给微软。第二个漏洞CVE-2025-64667是一个欺骗漏洞。
任何仍在Exchange Server 2016或2019上工作的人,尽管有这些更新,可能仍处于无保护状态,因为两者都在10月收到了最后一次更新。幸运的是,Exchange有一个为期六个月的扩展安全更新计划,将持续到2026年4月的补丁星期二。
微软Edge漏洞
Edge 143.0.3650.66的最新安全更新于12月4日发布,基于Chromium 143.0.7499.41。它修复了几个Chromium漏洞。微软还修复了一个Edge特有漏洞(CVE-2025-62223)。
