Microsoft 推出 2025年12月 Patch Tuesday 每月例行更新修補包

2025 / 12 / 19

編輯部

Microsoft 推出 2025年12月 Patch Tuesday 每月例行更新修補包

微軟在 2025 年最後一次 Patch Tuesday 釋出安全更新，總共修補了 57 個安全漏洞。這些漏洞橫跨多個 Windows 平台產品，其中包括 1 個已在野外遭到積極利用的零時差漏洞。

在這 57 個漏洞中，3 個被評為重大（Critical）等級，53 個被列為重要（Important）等級。另外有 2 個漏洞在修補程式釋出時已被公開揭露。

依漏洞類型分類如下：

29 個權限提升漏洞
18 個遠端程式碼執行漏洞
4 個資訊洩露漏洞
3 個阻斷服務漏洞
2 個欺騙（spoofing）漏洞

根據資安業者 Fortra 的統計資料，微軟在 2025 年總共修補了 1,275 個 CVE 漏洞。這是連續第二年修補超過 1,000 個 CVE，也是自 Patch Tuesday 制度實施以來第三次達到這個數字。

除了這次的更新，微軟自 11 月 Patch Tuesday 以來，已為基於 Chromium 的 Edge 瀏覽器修補了 17 個漏洞，其中包括 iOS 版 Edge 的欺騙漏洞 CVE-2025-62223（CVSS 評分 4.3）。

遭利用零時差：雲端檔案驅動程式漏洞

目前正遭到積極利用的漏洞編號為 CVE-2025-62221，CVSS 評分達 7.8。這是 Windows 雲端檔案迷你篩選驅動程式（Cloud Files Mini Filter Driver）中的釋放後使用（use-after-free）漏洞。已通過身分驗證的攻擊者可利用此漏洞在本機提升權限，取得系統權限。

專家解釋，檔案系統篩選驅動程式會附加到系統軟體堆疊上，攔截針對檔案系統的請求，並擴展或取代原始目標提供的功能。典型使用情境包括資料加密、自動備份、即時壓縮和雲端儲存。值得注意的是，OneDrive、Google Drive、iCloud 等服務都使用雲端檔案迷你篩選驅動程式。即使系統上沒有安裝這些應用程式，該驅動程式仍會作為 Windows 核心元件存在。

目前尚不清楚此漏洞在野外如何被濫用，以及在何種情境下遭到利用。不過，攻擊者必須先透過其他方式取得受影響系統的存取權限，才能成功利用這個漏洞。

駭客可能透過網路釣魚、瀏覽器漏洞或其他遠端程式碼執行漏洞來取得低權限存取。接著，攻擊者可將其與 CVE-2025-62221 串連，進而奪取主機控制權。取得存取權限後，攻擊者可以部署核心元件或濫用已簽章的驅動程式，藉此規避防禦機制並維持持久性。若與憑證竊取結合，這個漏洞可用於達成整個網域範圍的入侵。

由於 CVE-2025-62221 已遭利用，美國網路安全暨基礎設施安全局（CISA）已將其列入已知被利用漏洞目錄，並要求聯邦民間行政部門（FCEB）機構必須在 2025 年 12 月 30 日前套用修補程式。

兩個公開揭露零時差漏洞

另外兩個零時差漏洞已被公開揭露，但目前尚未遭到利用。

第一個是 CVE-2025-54100，CVSS 評分 7.8。這是 Windows PowerShell 中的命令注入漏洞，允許未經授權的攻擊者在本機執行程式碼。

Action1 的 Alex Vovk 解釋，這是 PowerShell 處理網頁內容時的命令注入缺陷。未經身分驗證的攻擊者可在執行精心設計的 PowerShell 命令（例如 Invoke-WebRequest）時，於使用者的安全情境中執行任意程式碼。當此漏洞與常見攻擊模式結合時，威脅更加嚴重。例如，攻擊者可透過社交工程說服使用者或管理員執行包含 Invoke-WebRequest 的 PowerShell 程式碼片段。遠端伺服器回傳精心設計的內容後，會觸發解析缺陷，導致程式碼執行並部署惡意程式。

第二個是 CVE-2025-64671（CVSS 評分 8.4），這是 GitHub Copilot for JetBrains 中的命令注入漏洞，同樣允許未經授權的攻擊者在本機執行程式碼。此漏洞是在近期揭露的一系列安全漏洞之後出現，這些漏洞統稱為 IDEsaster。問題源於在整合式開發環境（IDE）中加入代理能力時，暴露了新的安全風險。

這些攻擊透過提示注入來針對嵌入 IDE 中的人工智慧（AI）代理，結合基礎 IDE 層的漏洞，導致資訊洩露或命令執行。

發現並回報此漏洞的安全研究員表示，這是一個有漏洞的「執行命令」工具，可繞過使用者設定的允許清單。多個 IDE 容易受到相同攻擊影響，包括 Kiro.dev、Cursor（CVE-2025-54131）、JetBrains Junie（CVE-2025-59458）、Gemini CLI、Windsurf 和 Roo Code（CVE-2025-54377、CVE-2025-57771 和 CVE-2025-65946）。此外，Visual Studio Code 的 GitHub Copilot 也受此漏洞影響，但微軟將其評為「中等」嚴重性且未分配 CVE 編號。

其他重大漏洞

本次更新中，微軟修補了 3 個重大等級的 CVE，全部屬於遠端程式碼執行類型。其中兩個（CVE-2025-62554 和 CVE-2025-62557）影響 Microsoft Office，第三個（CVE-2025-62562）存在於 Outlook 中。

這兩個 Office 漏洞分別是型別混淆（type confusion）和釋放後使用錯誤，攻擊者可藉此執行任意程式碼。根據微軟說明，駭客可透過社交工程誘使使用者點擊惡意連結。在這兩種情況下，Office 的預覽窗格（Preview Pane）都是攻擊向量。

微軟指出，在最嚴重的電子郵件攻擊情境中，攻擊者只需向使用者傳送特製電子郵件，受害者無需開啟、閱讀或點擊任何內容，攻擊者就能在受害者機器上執行遠端程式碼。

已知問題：訊息佇列功能異常

微軟確認，12 月的安全更新導致訊息佇列（MSMQ）功能故障，影響企業應用程式和網際網路資訊服務（IIS）網站。

受影響的系統包括已安裝 KB5071546、KB5071544 和 KB5071543 安全更新的 Windows 10 22H2、Windows Server 2019 和 Windows Server 2016。

使用者在受影響的系統上遇到多種症狀：MSMQ 佇列無法運作、IIS 網站出現「資源不足」錯誤，以及應用程式無法寫入佇列。有些系統還會顯示誤導性的「磁碟空間或記憶體不足」訊息，即使實際上資源充足。

根據微軟說明，問題源於 MSMQ 服務的安全模型變更。此變更修改了關鍵系統資料夾的權限，要求 MSMQ 使用者對通常僅限管理員存取的目錄具有寫入權限。若使用者以具有完整管理權限的帳戶登入，則不會受到此問題影響。