Decembrie a adus din nou Patch Tuesday de la Microsoft: azi firma a publicat remedieri pentru 57 de vulnerabilități care afectează Windows și produse conexe, inclusiv un zero-day exploatat activ și două făcute publice. Ritmul lunar al actualizărilor Microsoft a devenit pentru profesioniști aproape o tradiție comparabilă cu schimbarea anotimpurilor: apare regulat și, dacă este neglijat, are consecințe. De la primele Patch Tuesday până acum s-au schimbat multe în peisajul amenințărilor, dar ideea de bază rămâne, apar vulnerabilități, cineva le descoperă, iar administratorii trebuie să aplice patch-urile.
Pachetul din această lună rezolvă 57 de probleme, dintre care 28 permit escaladarea privilegiilor, 19 pot duce la executare de cod la distanță, patru expun informații sensibile, trei pot cauza denegări de serviciu și două sunt de tip spoofing. Numărul comunicat nu include cele 15 probleme din Microsoft Edge și vulnerabilitățile Mariner remediate anterior în decembrie. Pe lângă corecțiile de securitate, Microsoft a oferit și actualizări non-securitate pentru Windows 11, între care KB5072033 și KB5071417; cei interesați de gestionarea patch-urilor pot consulta resurse precum webinarul realizat cu Action1 despre managementul modern al patch-urilor.
Trei zero-day au fost marcate: unul exploatat activ și două deja făcute publice. Zero-day-ul exploatat activ este CVE-2025-62221, o problemă în Windows Cloud Files Mini Filter Driver descrisă de Microsoft ca un use-after-free care permite unui atacator cu acces autorizat să obțină privilegii locale și, în caz de succes, să ajungă la nivel SYSTEM. Microsoft menționează că vulnerabilitatea a fost identificată de Microsoft Threat Intelligence Center și Microsoft Security Response Center, dar nu a oferit detalii despre modul în care a fost folosită în atacuri.
Cele două zero-day divulgate sunt CVE-2025-64671, care afectează GitHub Copilot pentru JetBrains, și CVE-2025-54100, în PowerShell. În cazul Copilot pentru JetBrains, problema e o injecție de comandă exploatabilă printr-un Cross Prompt Injection în fișiere neîncrezătoare sau pe servere MCP; atacatorul ar putea insera comenzi în cele acceptate automat de terminalul utilizatorului. Această problemă a fost semnalată de Ari Marzuk în raportul IDEsaster: A Novel Vulnerability Class in AI IDEs. În PowerShell, Invoke-WebRequest putea analiza conținutul unei pagini și, în anumite scenarii, permitea rularea codului încorporat în pagină la preluare; ca măsură, Microsoft a introdus un avertisment la utilizarea Invoke-WebRequest care sugerează comutatorul -UseBasicParsing pentru a preveni execuția scripturilor incluse în conținut web. Detalii suplimentare sunt disponibile în pagina de suport KB5074596 despre PowerShell 5.1 și prevenirea execuției scripturilor din conținut web.
Pe lângă actualizările Microsoft, și alți furnizori au publicat corecții: Adobe a lansat patch-uri pentru ColdFusion, Experience Manager, DNG SDK, Acrobat Reader și Creative Cloud Desktop; Fortinet a remediat mai multe produse, inclusiv o problemă critică de ocolire a autentificării FortiCloud SSO; Google a publicat buletinul de securitate Android pentru decembrie, cu corecții pentru două vulnerabilități exploatate activ; Ivanti a rezolvat un Stored XSS sever în Endpoint Manager; React a lansat actualizări pentru defectul RCE denumit React2Shell, deja exploatat pe scară largă; iar SAP a patch-uit o injecție de cod cu scor 9.9 în Solution Manager.
În corecțiile Microsoft se numără trei vulnerabilități de executare la distanță clasificate drept Critical, afectând produse Office, iar Outlook are un CVE marcat Critical (CVE-2025-62562). Alte componente importante remediate includ driverele Cloud Files, Projected File System, Win32k, DirectX și diverse servicii de rețea și stocare. Actualizarea inițială din 10 decembrie a conținut o corecție editorială: o subsecțiune afirma eronat că două zero-day erau exploatate activ, în loc de unul singur.
Mulți administratori vor recunoaște că patch-urile lunare sunt o combinație între rutină și prioritizare: nu toate actualizările au aceeași urgență, dar cele etichetate Critical sau cele care închid zero-day trebuie tratate cu prioritate. Instrumentele moderne de management al patch-urilor reduc timpul de expunere; exemplul webinarului cu Action1 arată cum automatizarea și vizibilitatea scurtează ferestrele de risc.
CVE-2025-62221 este unul dintre zero-day-urile semnalate în actualizare. Rămâne evident că instrumente noi, precum Copilot pentru JetBrains afectat de CVE-2025-64671, aduc avantaje dar și suprafețe de atac suplimentare, iar măsuri simple, atenție la Invoke-WebRequest sau aplicarea KB5074596, pot diminua riscurile. Ai actualizat deja sistemele din rețeaua ta după Patch Tuesday din decembrie?
Fii primul care comentează