Albisteak

Microsoft-en segurtasuna eguneratzea - 2025eko abendua

Argitalpen-data: 

Laburpen exekutiboa

Microsoft 2025eko abenduan bere hileko Segurtasun Buletina (Patch Tuesday) argitaratu du, guztira 154 ahultasun identifikatutak, horietatik 58k deskribapen espezifikoa dute.

Deskribapena duten 58 ahultasunetatik, honela banatzen dira: 3 larritasun kritikoak dira, 54 larritasun handikoak eta 1 baxua. Gainera, 0-day motako 3 ahultasun detektatu dira, ustiatuak edo publiko eginak, horrek segurtasun-arazo hauek konpontzeko premia nabarmendu egiten du.

Eragin handieneko ahultasunen artean, 2 identifikatu dira analisi teknikoa eskaintzen zaienak, horiek sistemaren segurtasunean eragin potentzial handia izan dezakete. Horietatik, 1 aktiboki ustiatzen ari da eta 2 publiko egin dira, eta horrek erabiltzaile eta sistema-administratzaileen erantzun azkar eta eraginkorraren beharra azpimarratzen du.

Kalteberatasunen sailkapena hauen deskribapenen arabera honakoa da:

  • 28 pribilegioen igoera kalteberatasun.
  • 20 kode urruneko exekuzioa kalteberatasun.
  • 4 informazioaren argitaratzea kalteberatasun.
  • 3 spoofing (ordezkatzea) kalteberatasun.
  • 3 zerbitzuaren ukatzea kalteberatasun.

Eragindako baliabideak

Ahultasun hauek honako produktuetan eragiten dute:

  • Windows PowerShell
  • Windows Projected File System
  • Windows Storage VSP Driver
  • Windows Cloud Files Mini Filter Driver
  • Microsoft Edge for iOS
  • Windows Message Queuing
  • Windows Resilient File System (ReFS)
  • Windows Win32K - GRFX
  • Windows Projected File System Filter Driver
  • Windows DirectX
  • Windows Client-Side Caching (CSC) Service
  • Windows Defender Firewall Service
  • Microsoft Brokering File System
  • Windows Common Log File System Driver
  • Windows Remote Access Connection Manager
  • Windows Routing and Remote Access Service (RRAS)
  • Azure Monitor Agent
  • Microsoft Office Access
  • Microsoft Office Excel
  • Microsoft Office
  • Microsoft Office Word
  • Microsoft Office Outlook
  • Windows Shell
  • Windows Hyper-V
  • Windows Camera Frame Server Monitor
  • Windows Installer
  • Application Information Services
  • Microsoft Exchange Server
  • Microsoft Graphics Component
  • Copilot
  • Microsoft Office SharePoint
  • Storvsp.sys Driver
  • Windows DWM Core Library

Azterketa teknikoa

Esplotatutako kalteberatasunen xehetasunak honako hauek dira:

  • CVE-2025-62221: Windows Cloud Files Mini Filter Driver-aren Pribilegioak Igotzeko Ahultasuna.
    • Larritasuna: Garrantzitsua
    • CVSS: 7.8
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Argitalpena: Ez
    • Ustiatzea: Detektatua
    • Azken bertsioko ustiatze maila: Detektatua
    • Aukera alternatiboak: Ez

Argitaratutako kalteberatasunen xehetasunak honako hauek dira:

  • CVE-2025-64671: GitHub Copilot for Jetbrains Urruneko Kode Exekuzioaren Ahultasuna
    • Larritasuna: Garrantzitsua
    • CVSS: 8.4
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Argitalpena: Bai
    • Ustiatzea: Ez detektatua
    • Azken bertsioko ustiatze maila: Oso zaila
    • Aukera alternatiboak: Ez
  • CVE-2025-54100: PowerShell Urruneko Kode Exekuzioaren Ahultasuna
    • Larritasuna: Garrantzitsua
    • CVSS: 7.8
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Argitalpena: Bai
    • Ustiatzea: Ez detektatua
    • Azken bertsioko ustiatze maila: Oso zaila
    • Aukera alternatiboak: Ez

Kalteberatasun kritikoen xehetasunak hauek dira:

  • CVE-2025-62554: Microsoft Office-n Urruneko Kodearen Exekuzioaren Ahultasuna.
    • Larritasuna: Kritikoa
    • CVSS: 8.4
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Argitalpena: Ez
    • Ustiatzea: Ez detektatua
    • Azken bertsioko ustiatze maila: Oso zaila
    • Aukera alternatiboak: Ez
  • CVE-2025-62557: Microsoft Office-n Urruneko Kodearen Exekuzioaren Ahultasuna.
    • Larritasuna: Kritikoa
    • CVSS: 8.4
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Argitalpena: Ez
    • Ustiatzea: Ez detektatua
    • Azken bertsioko ustiatze maila: Oso zaila
    • Aukera alternatiboak: Ez
  • CVE-2025-62562: Microsoft Office Outlook-en ahultasuna
    • Larritasuna: Kritikoa
    • CVSS: 7.8
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Argitalpena: Ez
    • Ustiatzea: Ez detektatua
    • Azken bertsioko ustiatze maila: Oso zaila
    • Aukera alternatiboak: Ez

Arintzea/Konponbidea

Kalteberatasun hauek eta beste batzuk saihesteko, gomendagarria da Microsoften segurtasun-eguneratzeak aplikatzea kaltetutako sistema guztietan.

Erreferentzia gehigarriak