Microsoft закрыла три опасные 0-day и 57 багов в декабре

Екатерина Быстрова 10 Декабря 2025 - 09:00

Домашние пользователи

Уязвимость нулевого дня

Патчи

...

Microsoft закрыла три опасные 0-day и 57 багов в декабре

У Microsoft вчера прошёл традиционный вторник патчей: компания закрыла 57 уязвимостей в рамках декабрьского Patch Tuesday. Среди них — одна уже активно эксплуатируемая и две публично раскрытые 0-day. Кроме того, три ошибки получили статус «критических», так как позволяют атакующим выполнить код удалённо.

Как распределились уязвимости по типам:

28 — возможностей повышения привилегий;
19 — удалённое выполнение кода;
4 — раскрытие информации;
3 — отказ в обслуживании;
2 — спуфинг.

Активно эксплуатируемая уязвимость — CVE-2025-62221. Она затрагивает Windows Cloud Files Mini Filter Driver и позволяет повысить права.

Этот баг связан с ошибкой типа use-after-free в драйвере Cloud Files. Её можно использовать для локального повышения привилегий вплоть до SYSTEM. Microsoft подтверждает наличие эксплойта, но не раскрывает детали атак. Сообщается лишь, что проблему обнаружили исследователи MSTIC и MSRC.

Ещё одна опасная проблема — CVE-2025-64671 — затрагивает GitHub Copilot for JetBrains и приводит к удалённому выполнению кода.

Уязвимость связана с некорректной фильтрацией командных конструкций. Злоумышленник может внедрить вредоносную команду через инъекцию в промпт — например, в непроверенных файлах, после чего команда будет исполнена в терминале пользователя.

Ошибку обнаружил исследователь Ари Марзук, автор свежего отчёта о проблемах безопасности ИИ.

Следующая 0-day — CVE-2025-54100. Затрагивает Windows PowerShell и позволяет выполнить код удалённо.

PowerShell неожиданно оказался уязвим к выполнению команд при загрузке страниц через Invoke-WebRequest. Если в HTML окажется встроенный скрипт, он может быть выполнен при парсинге.

Microsoft добавила предупредительное окно и рекомендует использовать параметр -UseBasicParsing, чтобы избежать подобных сценариев.

Приводим список пропатченных уязвимостей в таблице ниже:

Затронутый компонент	CVE-идентификатор	CVE-наименование	Степень риска
Application Information Services	CVE-2025-62572	Application Information Service Elevation of Privilege Vulnerability	Важная
Azure Monitor Agent	CVE-2025-62550	Azure Monitor Agent Remote Code Execution Vulnerability	Важная
Copilot	CVE-2025-64671	GitHub Copilot for Jetbrains Remote Code Execution Vulnerability	Важная
Microsoft Brokering File System	CVE-2025-62569	Microsoft Brokering File System Elevation of Privilege Vulnerability	Важная
Microsoft Brokering File System	CVE-2025-62469	Microsoft Brokering File System Elevation of Privilege Vulnerability	Важная
Microsoft Edge (Chromium-based)	CVE-2025-13634	Chromium: CVE-2025-13634 Inappropriate implementation in Downloads	Неизвестно
Microsoft Edge (Chromium-based)	CVE-2025-13721	Chromium: CVE-2025-13721 Race in v8	Неизвестно
Microsoft Edge (Chromium-based)	CVE-2025-13630	Chromium: CVE-2025-13630 Type Confusion in V8	Неизвестно
Microsoft Edge (Chromium-based)	CVE-2025-13631	Chromium: CVE-2025-13631 Inappropriate implementation in Google Updater	Неизвестно
Microsoft Edge (Chromium-based)	CVE-2025-13632	Chromium: CVE-2025-13632 Inappropriate implementation in DevTools	Неизвестно
Microsoft Edge (Chromium-based)	CVE-2025-13633	Chromium: CVE-2025-13633 Use after free in Digital Credentials	Неизвестно
Microsoft Edge (Chromium-based)	CVE-2025-13638	Chromium: CVE-2025-13638 Use after free in Media Stream	Неизвестно
Microsoft Edge (Chromium-based)	CVE-2025-13639	Chromium: CVE-2025-13639 Inappropriate implementation in WebRTC	Неизвестно
Microsoft Edge (Chromium-based)	CVE-2025-13640	Chromium: CVE-2025-13640 Inappropriate implementation in Passwords	Неизвестно
Microsoft Edge (Chromium-based)	CVE-2025-13637	Chromium: CVE-2025-13637 Inappropriate implementation in Downloads	Неизвестно
Microsoft Edge (Chromium-based)	CVE-2025-13720	Chromium: CVE-2025-13720 Bad cast in Loader	Неизвестно
Microsoft Edge (Chromium-based)	CVE-2025-13635	Chromium: CVE-2025-13635 Inappropriate implementation in Downloads	Неизвестно
Microsoft Edge (Chromium-based)	CVE-2025-13636	Chromium: CVE-2025-13636 Inappropriate implementation in Split View	Неизвестно
Microsoft Edge for iOS	CVE-2025-62223	Microsoft Edge (Chromium-based) for Mac Spoofing Vulnerability	Низкая
Microsoft Exchange Server	CVE-2025-64666	Microsoft Exchange Server Elevation of Privilege Vulnerability	Важная
Microsoft Exchange Server	CVE-2025-64667	Microsoft Exchange Server Spoofing Vulnerability	Важная
Microsoft Graphics Component	CVE-2025-64670	Windows DirectX Information Disclosure Vulnerability	Важная
Microsoft Office	CVE-2025-62554	Microsoft Office Remote Code Execution Vulnerability	Критическая
Microsoft Office	CVE-2025-62557	Microsoft Office Remote Code Execution Vulnerability	Критическая
Microsoft Office Access	CVE-2025-62552	Microsoft Access Remote Code Execution Vulnerability	Важная
Microsoft Office Excel	CVE-2025-62560	Microsoft Excel Remote Code Execution Vulnerability	Важная
Microsoft Office Excel	CVE-2025-62563	Microsoft Excel Remote Code Execution Vulnerability	Важная
Microsoft Office Excel	CVE-2025-62561	Microsoft Excel Remote Code Execution Vulnerability	Важная
Microsoft Office Excel	CVE-2025-62564	Microsoft Excel Remote Code Execution Vulnerability	Важная
Microsoft Office Excel	CVE-2025-62553	Microsoft Excel Remote Code Execution Vulnerability	Важная
Microsoft Office Excel	CVE-2025-62556	Microsoft Excel Remote Code Execution Vulnerability	Важная
Microsoft Office Outlook	CVE-2025-62562	Microsoft Outlook Remote Code Execution Vulnerability	Критическая
Microsoft Office SharePoint	CVE-2025-64672	Microsoft SharePoint Server Spoofing Vulnerability	Важная
Microsoft Office Word	CVE-2025-62558	Microsoft Word Remote Code Execution Vulnerability	Важная
Microsoft Office Word	CVE-2025-62559	Microsoft Word Remote Code Execution Vulnerability	Важная
Microsoft Office Word	CVE-2025-62555	Microsoft Word Remote Code Execution Vulnerability	Важная
Storvsp.sys Driver	CVE-2025-64673	Windows Storage VSP Driver Elevation of Privilege Vulnerability	Важная
Windows Camera Frame Server Monitor	CVE-2025-62570	Windows Camera Frame Server Monitor Information Disclosure Vulnerability	Важная
Windows Client-Side Caching (CSC) Service	CVE-2025-62466	Windows Client-Side Caching Elevation of Privilege Vulnerability	Важная
Windows Cloud Files Mini Filter Driver	CVE-2025-62457	Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnerability	Важная
Windows Cloud Files Mini Filter Driver	CVE-2025-62454	Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnerability	Важная
Windows Cloud Files Mini Filter Driver	CVE-2025-62221	Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnerability	Важная
Windows Common Log File System Driver	CVE-2025-62470	Windows Common Log File System Driver Elevation of Privilege Vulnerability	Важная
Windows Defender Firewall Service	CVE-2025-62468	Windows Defender Firewall Service Information Disclosure Vulnerability	Важная
Windows DirectX	CVE-2025-62463	DirectX Graphics Kernel Denial of Service Vulnerability	Важная
Windows DirectX	CVE-2025-62465	DirectX Graphics Kernel Denial of Service Vulnerability	Важная
Windows DirectX	CVE-2025-62573	DirectX Graphics Kernel Elevation of Privilege Vulnerability	Важная
Windows DWM Core Library	CVE-2025-64679	Windows DWM Core Library Elevation of Privilege Vulnerability	Важная
Windows DWM Core Library	CVE-2025-64680	Windows DWM Core Library Elevation of Privilege Vulnerability	Важная
Windows Hyper-V	CVE-2025-62567	Windows Hyper-V Denial of Service Vulnerability	Важная
Windows Installer	CVE-2025-62571	Windows Installer Elevation of Privilege Vulnerability	Важная
Windows Message Queuing	CVE-2025-62455	Microsoft Message Queuing (MSMQ) Elevation of Privilege Vulnerability	Важная
Windows PowerShell	CVE-2025-54100	PowerShell Remote Code Execution Vulnerability	Важная
Windows Projected File System	CVE-2025-62464	Windows Projected File System Elevation of Privilege Vulnerability	Важная
Windows Projected File System	CVE-2025-55233	Windows Projected File System Elevation of Privilege Vulnerability	Важная
Windows Projected File System	CVE-2025-62462	Windows Projected File System Elevation of Privilege Vulnerability	Важная
Windows Projected File System	CVE-2025-62467	Windows Projected File System Elevation of Privilege Vulnerability	Важная
Windows Projected File System Filter Driver	CVE-2025-62461	Windows Projected File System Elevation of Privilege Vulnerability	Важная
Windows Remote Access Connection Manager	CVE-2025-62474	Windows Remote Access Connection Manager Elevation of Privilege Vulnerability	Важная
Windows Remote Access Connection Manager	CVE-2025-62472	Windows Remote Access Connection Manager Elevation of Privilege Vulnerability	Важная
Windows Resilient File System (ReFS)	CVE-2025-62456	Windows Resilient File System (ReFS) Remote Code Execution Vulnerability	Важная
Windows Routing and Remote Access Service (RRAS)	CVE-2025-62549	Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability	Важная
Windows Routing and Remote Access Service (RRAS)	CVE-2025-62473	Windows Routing and Remote Access Service (RRAS) Information Disclosure Vulnerability	Важная
Windows Routing and Remote Access Service (RRAS)	CVE-2025-64678	Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability	Важная
Windows Shell	CVE-2025-62565	Windows File Explorer Elevation of Privilege Vulnerability	Важная
Windows Shell	CVE-2025-64661	Windows Shell Elevation of Privilege Vulnerability	Важная
Windows Shell	CVE-2025-64658	Windows File Explorer Elevation of Privilege Vulnerability	Важная
Windows Storage VSP Driver	CVE-2025-59517	Windows Storage VSP Driver Elevation of Privilege Vulnerability	Важная
Windows Storage VSP Driver	CVE-2025-59516	Windows Storage VSP Driver Elevation of Privilege Vulnerability	Важная
Windows Win32K - GRFX	CVE-2025-62458	Win32k Elevation of Privilege Vulnerability	Важная

Следующая главная новость »

Российские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 16 Апреля 2026 - 16:07

Домашние пользователи Защита персональных данных

Google Chrome не спасает от слежки даже без cookies

Эпоха, когда приватность в браузере сводилась к вопросу «включены ли cookies», окончательно ушла в прошлое. Новый технический разбор проблем конфиденциальности в Google Chrome показывает: современные методы отслеживания стали намного продуманнее.

Теперь сайтам уже не обязательно полагаться только на cookies, они могут собирать цифровой отпечаток пользователя с помощью разных трюков с хранилищами браузера и даже утечек через HTTP-заголовки.

Цифровой отпечаток — это способ собрать множество мелких технических особенностей браузера и устройства, а затем сложить их в довольно уникальный профиль.

Даже если пользователь очистит cookies, такой «отпечаток» нередко всё равно остаётся устойчивым и позволяет распознать юзера повторно.

Как отмечается в материале, исследование 2025 года показало, что canvas fingerprinting использовался на 12,7% из 20 тысяч самых популярных сайтов, попавших в выборку. Это уже вполне рабочая и распространённая практика, а не редкий эксперимент для узкого круга специалистов.

У Chrome, конечно, есть определённые попытки сократить объём пассивно собираемых данных. Например, браузер ограничил часть информации в классической строке User-Agent и перенёс больше сведений в механизм User-Agent Client Hints. Но полностью проблема от этого не исчезла. Сайты по-прежнему могут запрашивать у браузера подробные сведения через navigator.userAgentData.getHighEntropyValues().

В результате им доступны такие детали, как архитектура устройства, разрядность, версия платформы и полная версия браузера, а всё это отлично усиливает точность цифрового отпечатка.

Отдельная история — сигналы, которые приходят из графических и мультимедийных API. Самыми полезными для отслеживания остаются canvas, WebGL и audio processing. Всё дело в том, что разные устройства и системы чуть-чуть по-разному рисуют изображения и обрабатывают звук. Для обычного пользователя эти различия незаметны, но они помогают отличить один компьютер от другого.

И это ещё не всё. Угрозы для приватности скрываются не только в JavaScript API. Даже HTTP-заголовки могут выдавать лишнюю информацию или помогать отслеживать пользователя между визитами. В качестве примера в материале приводится уязвимость CVE-2025-4664 в Chrome: она была связана с обработкой заголовка Link и позволяла навязать слишком мягкую политику referrer, из-за чего в межсайтовых запросах могли утекать полные строки запросов. А это уже потенциальный путь к раскрытию токенов. Позже Google закрыла проблему в Chrome 136.

Отдельно авторы материала напоминают и о больших переменах в политике Google по cookies. Долгий план по отказу от сторонних «печенек» в Chrome фактически был свёрнут ещё в июле 2024 года, а более широкий проект Privacy Sandbox затем вообще прекратили развивать в 2025 году на фоне слабого принятия рынком и критики со стороны экосистемы.

Российские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!