Microsoft выпустила обновления для 183 уязвимостей в своих продуктах, завершив поддержку Windows 10 без участия в программе Extended Security Updates (ESU). Три из уязвимостей находятся под активной эксплуатацией.
Основные уязвимости
Из 183 уязвимостей, восемь касаются продуктов, не связанных с Microsoft. 165 уязвимостей классифицированы как "важные", 17 — "критические", и одна — "умеренная". Большинство уязвимостей связаны с повышением привилегий (84), удаленным выполнением кода (33), раскрытием информации (28), подделкой (14), отказом в обслуживании (11) и обходом функций безопасности (11).
- Два значительных нулевых дня: CVE-2025-24990 и CVE-2025-59230 с оценкой CVSS 7.8.
- Первый случай нулевого дня в RasMan (Remote Access Connection Manager).
- Secure Boot обход в IGEL OS, версия ниже 11, с CVSS 4.6.
- Новые уязвимости добавлены в каталог CISA (KEV).
Планы Microsoft и меры безопасности
Microsoft объявила о намерении полностью удалить драйвер Agere, вместо того, чтобы исправлять устаревший компонент. Исследователи безопасности отметили, что он может быть использован для повышения привилегий. CVE-2025-59230 стал первым наблюдаемым в свободной эксплуатации нулевым днём RasMan, и компания уже исправила множество других уязвимостей RasMan с 2022 года.
Еще одна уязвимость — Secure Boot в IGEL OS до версии 11 с возможностью установки руткитов на уровне ядра, если присутствует физический доступ.
Critical security update for Windows users
Советы по безопасности
Федеральным агентствам США требуется установить патчи до 2025-11-04. Основные уязвимости включают удаленное выполнение кода в Windows Server Update Service с оценкой CVSS 9.8 и проблемы в Windows URL Parsing и Microsoft Graphics Component.
Организациям рекомендуется немедленно устранить данные критические уязвимости для защиты инфраструктуры.
