Microsoft je riješio ranjivost u Windowsu koja se eksploatiše kao zero-day i omogućava napadačima da dobiju System privilegije.
Microsoft je u utorak objavio zakrpe za 57 ranjivosti u sklopu bezbjednosnih ažuriranja za decembar 2025. Tri od ovih propusta su zero-day, ali samo jedan se trenutno aktivno eksploatiše.
Eksploatisani zero-day, označen kao CVE-2025-62221 (CVSS 7.8), opisan je kao use-after-free propust u Windows Cloud Files Mini Filter Driver-u.
Prema navodima Microsofta, uspješna eksploatacija ovog bezbjednosnog nedostatka mogla bi hakerima omogućiti eskalaciju privilegija do nivoa System na Windows uređajima.
Kompanija takođe navodi da je svjesna da se ranjivost zloupotrebljava u stvarnim napadima, ali nisu objavljeni detalji o tome kako oni izgledaju.
Drugi propust riješen u Cloud Files Mini Filter Driver-u, označen kao CVE-2025-62454 (CVSS 7.8) i takođe vezan za eskalaciju privilegija, vrlo je vjerovatno da će biti iskorišćen u napadima, upozorava tehnološki gigant.
Microsoftova Patch Tuesday ažuriranja za decembar 2025. skreću pažnju i na dva komandna ubrizgavanja (command injection) koja omogućavaju udaljeno izvršavanje koda, zakrpljena u Copilot-u za JetBrains (CVE-2025-64671) i PowerShell-u (CVE-2025-54100).
Obje ranjivosti su bile javno poznate prije nego što su zakrpe objavljene, ali Microsoft navodi da je manja vjerovatnoća da će biti masovno eksploatisane u napadima. Ipak, postoji proof-of-concept (PoC) za CVE-2025-64671.
Nova ažuriranja takođe rješavaju 13 ranjivosti u Office paketu, uključujući dvije označene kao „kritične“, ali sa CVSS ocjenom 8.4, što ih svrstava u visokorizične propuste.
Dva propusta, označena kao CVE-2025-62554 i CVE-2025-62557, opisana su kao type confusion i use-after-free greške koje omogućavaju udaljenim napadačima da izvrše proizvoljan kod.
Prema Microsoftu, hakeri bi ove ranjivosti mogli iskoristiti pomoću socijalnog inženjeringa kako bi ubijedili korisnike da kliknu na maliciozne linkove. U oba slučaja, Office-ov Preview Pane predstavlja napadni vektor.
„U najgorem scenariju napada putem emaila, napadač može poslati posebno kreiranu poruku korisniku bez potrebe da žrtva otvori, pročita ili klikne na link. Ovo može omogućiti izvršavanje udaljenog koda na uređaju žrtve“, navodi Microsoft.
Drugi Microsoftovi proizvodi koji su dobili zakrpe u decembru 2025. uključuju Visual Studio, Azure Monitor Agent, Hyper-V, Edge za iOS i Application Information Service.
Tokom 2025. godine, Microsoft je objavio zakrpe za oko 1.200 ranjivosti. Ovo je druga godina zaredom u kojoj je kompanija riješila više od 1.000 bezbjednosnih propusta.
Izvor: SecurityWeek