漏洞概要
2025年11月12日(北京时间),微软发布了2025年11月安全更新,共发布了68个CVE的补丁程序,比上月减少了115个。
在漏洞安全等级方面,存在4个标记等级为“Critical”的漏洞,62个漏洞被标记为“Important/High”等级的漏洞;在漏洞类型方面,主要有21个远程代码执行漏洞,29个权限提升漏洞以及11个信息泄露漏洞。
重要漏洞分析
漏洞分析
GDI远程执行代码漏洞CVE-2025-60724
图形设备接口GDI是Windows操作系统中用于图形与文本输出的核心子系统。它负责在显示器、打印机等设备上绘制图形元素,如线条、矩形、字体、位图和图标等。GDI通过提供设备无关的绘图接口,使应用程序无需直接操作硬件即可完成绘制任务,从而保证不同设备间的显示一致性。
其中存在远程执行代码漏洞,攻击者可以利用该漏洞在目标系统执行任意代码。经过评估危害较大,我们建议用户及时更新微软安全补丁。
Windows内核特权提升漏洞CVE-2025-62215
Windows内核是Windows操作系统的核心组件,负责管理系统的基本资源和底层运行机制。它处于用户模式与硬件之间,承担进程调度、内存管理、设备驱动、文件系统访问、安全控制及中断处理等关键任务。其核心模块包括内核模式执行体、硬件抽象层和内核对象管理机制。
其中存在权限提升漏洞,攻击者可以利用该漏洞在目标系统获取更高的权限。经过评估,该漏洞存在在野利用,危害比较大,我们建议用户及时更新微软安全补丁。
影响范围
漏洞名称、CVE编号 | 受影响版本 |
GDI远程执行代码漏洞CVE-2025-60724 | WindowsServer2025(ServerCoreinstallation) WindowsServer2025 WindowsServer2022,23H2Edition(ServerCoreinstallation) WindowsServer2022(ServerCoreinstallation) WindowsServer2022 WindowsServer2019(ServerCoreinstallation) WindowsServer2019 WindowsServer2016(ServerCoreinstallation) WindowsServer2016 WindowsServer2012R2(ServerCoreinstallation) WindowsServer2012R2 WindowsServer2012(ServerCoreinstallation) WindowsServer2012 WindowsServer2008R2forx64-basedSystemsServicePack1(ServerCoreinstallation) WindowsServer2008R2forx64-basedSystemsServicePack1 WindowsServer2008forx64-basedSystemsServicePack2(ServerCoreinstallation) WindowsServer2008forx64-basedSystemsServicePack2 WindowsServer2008for32-bitSystemsServicePack2(ServerCoreinstallation) WindowsServer2008for32-bitSystemsServicePack2 Windows11Version25H2forx64-basedSystems Windows11Version25H2forARM64-basedSystems Windows11Version24H2forx64-basedSystems Windows11Version24H2forARM64-basedSystems Windows11Version23H2forx64-basedSystems Windows11Version23H2forARM64-basedSystems Windows10Version22H2forx64-basedSystems Windows10Version22H2forARM64-basedSystems Windows10Version22H2for32-bitSystems Windows10Version21H2forx64-basedSystems Windows10Version21H2forARM64-basedSystems Windows10Version21H2for32-bitSystems Windows10Version1809forx64-basedSystems Windows10Version1809for32-bitSystems Windows10Version1607forx64-basedSystems Windows10Version1607for32-bitSystems MicrosoftOfficeLTSCforMac2024 MicrosoftOfficeLTSCforMac2021 MicrosoftOfficeforAndroid |
Windows内核特权提升漏洞CVE-2025-62215 | WindowsServer2025(ServerCoreinstallation) WindowsServer2025 WindowsServer2022,23H2Edition(ServerCoreinstallation) WindowsServer2022(ServerCoreinstallation) WindowsServer2022 WindowsServer2019(ServerCoreinstallation) WindowsServer2019 Windows11Version25H2forx64-basedSystems Windows11Version25H2forARM64-basedSystems Windows11Version24H2forx64-basedSystems Windows11Version24H2forARM64-basedSystems Windows11Version23H2forx64-basedSystems Windows11Version23H2forARM64-basedSystems Windows10Version22H2forx64-basedSystems Windows10Version22H2forARM64-basedSystems Windows10Version22H2for32-bitSystems Windows10Version21H2forx64-basedSystems Windows10Version21H2forARM64-basedSystems Windows10Version21H2for32-bitSystems Windows10Version1809forx64-basedSystems Windows10Version1809for32-bitSystems |
官方修复建议
微软官方已更新受影响软件的安全补丁,用户可根据不同系统版本下载安装对应的安全补丁。