微软 2025 年 11 月补丁日修复 63 个漏洞，其中包括 1 个0day漏洞

微软今天发布了 2025 年 11 月补丁日安全更新，修复了其产品和服务生态系统中的 63 个漏洞。

其中，有一个零日漏洞已被实际利用，这凸显及时应用补丁以减轻潜在威胁的紧迫性。

此次更新涵盖 Windows、Office、Azure、Visual Studio 和其他组件，重点关注远程代码执行 (RCE) 和权限提升 (EoP) 问题，这些问题可能允许攻击者入侵系统。

本次补丁日修复的漏洞属性分类如下:

其中 CVE-2025-62215漏洞是一个Windows 内核权限提升漏洞，评级为“重要”，并且已被证实已被在野利用。

这种竞争条件漏洞使得获得授权的本地攻击者能够利用共享资源中不正确的同步来提升权限。

微软指出，由于该漏洞已被积极使用，因此更容易被利用，攻击者可能借此获得对受影响 Windows 系统的更高权限。除了安装更新之外，目前没有其他解决方法。专家建议立即在所有受支持的版本上部署此更新，包括 Windows 10、11 和 Server 版本。

此次发布的漏洞公告中，共有五个漏洞被评为严重漏洞。其中最严重的是 CVE-2025-62199，这是 Microsoft Office 中的一个释放后使用漏洞，可导致远程代码执行 (RCE)，未经授权的攻击者可以通过恶意文档在本地执行代码。

利用该漏洞的可能性较低，但其严重性足以确保 Office 用户优先进行补丁修复。同样，Windows DirectX 中的 CVE-2025-60716 漏洞涉及释放后使用错误，允许将本地权限提升至严重级别。

另一个影响巨大的 CVE-2025-60724 漏洞是 GDI+ 中基于堆的缓冲区溢出漏洞，允许通过网络远程执行代码，对依赖图形的应用程序构成风险。

CVE-2025-62214 会利用命令注入漏洞攻击 Visual Studio，导致本地远程代码执行 (RCE)；而 CVE-2025-30398 则会导致 Nuance PowerScribe 360因缺少授权而泄露敏感信息。

大部分补丁（共 57 个）被评为“重要”，主要针对权限提升漏洞，占所有漏洞的一半以上。值得注意的例子包括 CVE-2025-59505（Windows 智能卡中的双重释放漏洞）、CVE-2025-60704（Kerberos 网络权限提升机制中缺少加密）和 CVE-2025-60719（WinSock 驱动程序中的不受信任指针漏洞）。

信息泄露问题（例如 Windows 语音识别中的 CVE-2025-59509）和拒绝服务漏洞（例如 RRAS 中的 CVE-2025-59510）也包含在列表中。

Azure 组件未能幸免，CVE-2025-59504 漏洞利用缓冲区溢出在 Monitor Agent 中提供本地远程代码执行 (RCE) 攻击。Dynamics 365 则存在 CVE-2025-62210 和 CVE-2025-62211 漏洞，允许通过跨站脚本攻击 (XSS) 进行欺骗。

更多信息参考微软官方安全公告指南：

https://msrc.microsoft.com/update-guide/