Microsoft v novembrovom balíku aktualizácií Patch Tuesday opravil 5 kritických a jednu aktívne zneužívanú zraniteľnosť

Spoločnosť Microsoft vydala v novembri 2025 balík opráv pre portfólio svojich produktov opravujúci 63 zraniteľností, z ktorých 5 spoločnosť označila ako kritické. Tieto umožňujú vzdialene vykonávať kód, získať citlivé informácie a eskalovať oprávnenia. Jedna vysoko závažná zraniteľnosť je aktívne zneužívaná a umožňuje eskalovať oprávnenia útočníka.

Zraniteľné systémy:

• Azure Monitor
• Dynamics 365 Field Service (online)
• Microsoft 365 Apps for Enterprise for 32-bit Systems
• Microsoft 365 Apps for Enterprise for 64-bit Systems
• Microsoft Configuration Manager 2403
• Microsoft Configuration Manager 2409
• Microsoft Configuration Manager 2503
• Microsoft Dynamics 365 (on-premises) version 9.1
• Microsoft Excel 2016 (32-bit edition)
• Microsoft Excel 2016 (64-bit edition)
• Microsoft Office 2016 (32-bit edition)
• Microsoft Office 2016 (64-bit edition)
• Microsoft Office 2019 for 32-bit editions
• Microsoft Office 2019 for 64-bit editions
• Microsoft Office for Android
• Microsoft Office LTSC 2021 for 32-bit editions
• Microsoft Office LTSC 2021 for 64-bit editions
• Microsoft Office LTSC 2024 for 32-bit editions
• Microsoft Office LTSC 2024 for 64-bit editions
• Microsoft Office LTSC for Mac 2021
• Microsoft Office LTSC for Mac 2024
• Microsoft SharePoint Enterprise Server 2016
• Microsoft SharePoint Server 2019
• Microsoft SharePoint Server Subscription Edition
• Microsoft SQL Server 2016 for x64-based Systems Service Pack 3 (GDR)
• Microsoft SQL Server 2016 for x64-based Systems Service Pack 3 Azure Connect Feature Pack
• Microsoft SQL Server 2017 for x64-based Systems (CU 31)
• Microsoft SQL Server 2017 for x64-based Systems (GDR)
• Microsoft SQL Server 2019 for x64-based Systems (CU 32)
• Microsoft SQL Server 2019 for x64-based Systems (GDR)
• Microsoft SQL Server 2022 for x64-based Systems (CU 21)
• Microsoft SQL Server 2022 for x64-based Systems (GDR)
• Microsoft Visual Studio 2022 version 17.14
• Microsoft Visual Studio Code CoPilot Chat Extension
• Nuance PowerScribe 360 version 4.0.1
• Nuance PowerScribe 360 version 4.0.2
• Nuance PowerScribe 360 version 4.0.3
• Nuance PowerScribe 360 version 4.0.4
• Nuance PowerScribe 360 version 4.0.5
• Nuance PowerScribe 360 version 4.0.6
• Nuance PowerScribe 360 version 4.0.7
• Nuance PowerScribe 360 version 4.0.8
• Nuance PowerScribe 360 version 4.0.9
• Nuance PowerScribe One version 2019.1
• Nuance PowerScribe One version 2019.10
• Nuance PowerScribe One version 2019.2
• Nuance PowerScribe One version 2019.3
• Nuance PowerScribe One version 2019.4
• Nuance PowerScribe One version 2019.5
• Nuance PowerScribe One version 2019.6
• Nuance PowerScribe One version 2019.7
• Nuance PowerScribe One version 2019.8
• Nuance PowerScribe One version 2019.9
• Office Online Server
• OneDrive for Android
• PowerScribe One version 2023.1 SP2 Patch 7
• Visual Studio Code
• Windows 10 for 32-bit Systems
• Windows 10 for x64-based Systems
• Windows 10 Version 1607 for 32-bit Systems
• Windows 10 Version 1607 for x64-based Systems
• Windows 10 Version 1809 for 32-bit Systems
• Windows 10 Version 1809 for x64-based Systems
• Windows 10 Version 21H2 for 32-bit Systems
• Windows 10 Version 21H2 for ARM64-based Systems
• Windows 10 Version 21H2 for x64-based Systems
• Windows 10 Version 22H2 for 32-bit Systems
• Windows 10 Version 22H2 for ARM64-based Systems
• Windows 10 Version 22H2 for x64-based Systems
• Windows 11 Version 22H2 for ARM64-based Systems
• Windows 11 Version 22H2 for x64-based Systems
• Windows 11 Version 23H2 for ARM64-based Systems
• Windows 11 Version 23H2 for x64-based Systems
• Windows 11 Version 24H2 for ARM64-based Systems
• Windows 11 Version 24H2 for x64-based Systems
• Windows 11 Version 25H2 for ARM64-based Systems
• Windows 11 Version 25H2 for x64-based Systems
• Windows Server 2008 for 32-bit Systems Service Pack 2
• Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
• Windows Server 2008 for x64-based Systems Service Pack 2
• Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
• Windows Server 2008 R2 for x64-based Systems Service Pack 1
• Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
• Windows Server 2012
• Windows Server 2012 (Server Core installation)
• Windows Server 2012 R2
• Windows Server 2012 R2 (Server Core installation)
• Windows Server 2016
• Windows Server 2016 (Server Core installation)
• Windows Server 2019
• Windows Server 2019 (Server Core installation)
• Windows Server 2022
• Windows Server 2022 (Server Core installation)
• Windows Server 2022, 23H2 Edition (Server Core installation)
• Windows Server 2025
• Windows Server 2025 (Server Core installation)
• Windows Subsystem for Linux GUI

Opis činnosti:

V rámci októbrového balíka Patch Tuesday opravila spoločnosť Microsoft vo svojich produktoch 63 zraniteľností. Z nich 5 zaradila spoločnosť Microsoft do kategórie kritické a 58 bolo vyhodnotených ako vysoko závažné („Important“). Jedna z vysoko závažných je aktívne zneužívaná. Kritické zraniteľnosti umožňujú vzdialene vykonávať kód, získať citlivé informácie a eskalovať oprávnenia.

CVE-2025-62215 (CVSS skóre 7,0)

Aktívne zneužívaná vysoko závažná zraniteľnosť v kerneli Windows súvisí s dvojitým uvoľnením pamäte a vzniku súbehu procesov. Umožňuje eskalovať oprávnenia na úroveň SYSTEM. Lokálny autorizovaný útočník ju môže zneužiť po výhre súbehu. Nepotrebuje interakciu obete.

CVE-2025- 30398 (CVSS skóre 8,1)

Zraniteľnosť sa nachádza v produkte Nuance PowerScribe 360. Kvôli chýbajúcej kontrole autorizácie dovoľuje vzdialenému neautorizovanému útočníkovi získať prístup k citlivým používateľským informáciám a schopnosť modifikovať ich. Pre jej úspešné zneužitie potrebuje útočník počkať, kým obeť iniciuje spojenie. Následne môže vykonať volanie API za zraniteľný koncový bod.

CVE-2025-60716 (CVSS skóre 7,0)

Zraniteľnosť v jadre Windows DirectX umožňuje eskalovať oprávnenia na úroveň SYSTEM. Vyplýva z možnosti opätovného použitia dealokovanej pamäte. Lokálny útočník s nízkymi oprávneniami ju môže zneužiť po výhre súbehu. Nepotrebuje interakciu obete.

CVE-2025-60724 (CVSS skóre 9,8)

Kritická zraniteľnosť Microsoft Graphics Component (GDI+) dovoľuje vzdialené vykonávanie kódu. Súvisí s pretečením vyrovnávacej pamäte na halde, ktoré môže zneužiť vzdialený útočník bez oprávnení v systéme, bez interakcie obete. Náhľad (Preview Pane) nie je vektorom útoku.

CVE-2025-62199 (CVSS skóre 7,8)

Zraniteľnosť Microsoft Office umožňuje vykonávanie ľubovoľného kódu. Vyplýva z možnosti opätovného použitia dealokovanej pamäte. Lokálny neautorizovaný útočník ju môže zneužiť s pomocou obete, ktorá otvorí škodlivý súbor. Náhľad (Preview Pane) je tiež vektorom útoku.

CVE-2025-62214 (CVSS skóre 6,7)

Zraniteľnosť produktu Visual Studio umožňuje lokálnemu útočníkovi s nízkymi oprávneniami vykonávať ľubovoľný kód. Vyplýva z nevhodnej sanitizácie používateľských príkazov. Útočník potrebuje interakciu obete, musí injektovať prompt do agenta Copilot a vyvolať kompiláciu kódu.

Možné škody:

• Únik citlivých informácií
• Vzdialené vykonávanie kódu
• Eskalácia oprávnení

Odporúčania:

Administrátorom a používateľom zraniteľných verzií odporúčame bezodkladne vykonať aktualizácie dostupné priamo zo systému alebo zo stránky výrobcu. Pre konkrétny prehľad si treba vo filtroch zvoliť mesiac október a Mode „Update Tuesday“. Bližšie informácie nájdete aj tu.

Odkazy:

• https://www.bleepingcomputer.com/news/microsoft/microsoft-november-2025-patch-tuesday-fixes-1-zero-day-63-flaws/
• https://msrc.microsoft.com/update-guide/en-us
• https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-62215
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-30398
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-60716
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-60724
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-62199
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-62214