FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

漏洞概览

微软在2025年12月的"补丁星期二"发布了年度收官安全更新，共修复其生态系统中72个漏洞，包含3个严重漏洞和55个重要漏洞。此次更新的焦点在于三处已被公开的0Day漏洞，其中一处已遭活跃利用。

本次更新涵盖多个组件，包括基于Chromium的Microsoft Edge、Windows Hyper-V、Windows消息队列以及Windows Defender防火墙服务。

关键0Day漏洞详情

1. 云文件驱动漏洞（CVE-2025-62221）
   最紧急的修复针对Windows云文件迷你过滤驱动。该漏洞被标记为CVE-2025-62221，属于"释放后重用"类型，攻击者可借此获取Windows系统的最高权限——SYSTEM特权。
   美国网络安全和基础设施安全局（CISA）已将该漏洞列入"已知被利用漏洞目录"，并敦促用户在2025年12月30日前完成修补。

2. GitHub Copilot漏洞（CVE-2025-64671）
   微软修复了GitHub Copilot for JetBrains中的关键远程代码执行（RCE）漏洞。该命令注入漏洞可能允许未经认证的攻击者远程执行代码，使这款开发者辅助工具潜在沦为破坏载体。

3. PowerShell注入漏洞（CVE-2025-54100）
   第三个0Day漏洞CVE-2025-54100影响Windows PowerShell，该命令注入漏洞同样允许未授权攻击者远程运行代码。作为缓解措施，微软为Invoke-WebRequest命令新增了确认提示，当用户尝试解析网页内容时将显示"安全警告：脚本执行风险"，建议使用-UseBasicParsing参数避免脚本代码执行。

其他高危漏洞修复

本次更新还修复了微软生产力套件中的多个关键RCE漏洞：

• Outlook（CVE-2025-62562）：释放后重用漏洞可导致未认证攻击者执行代码
• Office（CVE-2025-62554 & CVE-2025-62557）：类型混淆和释放后重用漏洞使用户面临远程攻击风险

参考来源：

Microsoft Patches Three Zero-Days Including Active Cloud Files UAF to SYSTEM and Copilot RCE

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）