Zaktualizuj Windowsa. Wydano grudniowe poprawki

Tym razem na samej górze listy podatności znalazł się nie Windows, nie Exchange, a produkt o nazwie azl3 6.6. Jest to jądro linuksowe systemu Azure Linux 3.0, a znalezione w nim podatności (jest ich siedem) niekoniecznie są autorstwa samego Microsoftu. Są to dziury zidentyfikowane bezpośrednio w kernelu, więc w ten sam sposób, co Azure Linux, dotyczą np. Ubuntu.

Pierwszy problem związany z Windowsem pojawia się dopiero na dziesiątym miejscu na liście! Zbiór najpoważniejszych problemów z Windows wart łatania w grudniu ze względu na możliwość zdalnego wykonania kodu, dotyczy jednak komponentu serwerowego. Podatności CVE-2025-64678 i CVE-2025-62549 to (kolejny miesiąc z rzędu) nowa dawka dziur w usłudze Routing i Dostęp Zdalny (RRAS). Domyślnie jest ona wyłączona, a część API tego komponentu odpowiada za obsługę VPN.

Nawet jeżeli RRAS jest włączony, okoliczności umożliwiające jego złośliwe wykorzystanie są dość złożone, a atakujący musi mieć trochę szczęścia. W pierwszym przypadku wymagane jest skłonienie serwera do próby nawiązania połączenia wychodzącego z podstawionym innym, złośliwym serwerem. W drugim w ogóle zachodzi konieczność członkostwa w domenie Active Directory, co znacząco ogranicza liczbę środowisk, w którym łatane w grudniu luki mogą być wykorzystane.

Podatności w RRAS ponownie są łatane dziesiątkami poprawek, co oznacza że są obecne we wszystkich obsługiwanych systemach. Ponieważ wydano między innymi poprawkę w wersji 6.0.6003.23666 (do wciąż obsługiwanego Windows Server 2008), dziurawa implementacja znajduje się w systemie już od czasów Visty, co oznacza już niemal dwie dekady - a prawdopodobnie więcej.

Jedyną "zdalną" dziurą znalezioną w jakimkolwiek nowoczesnym elemencie Windowsa jest podatność w systemie plików ReFS (CVE-2025-62456). Dotyczy ona jedynie systemów Windows 11 oraz Windows Server 2022 i 2025. Choć zdalne wykonanie kodu następuje poprzez wdanie się w interakcję z udziałem udostępnionym zlokalizowanym na partycji ReFS, wymagane jest uwierzytelnienie, by otrzymać dostęp do zasobu. Podatność nie jest dokładnie opisana i wydaje się, że jej zakres wpływu kończy się właśnie na udziale sieciowym, choć nie jest to do końca jasne.

Kolejną dobrą wiadomością, poza faktem małej ilości poważnych dziur, jest wzrost jakości ocen CVSS. Spadła liczba notatek opisujących podatności typu "użytkownik musi kliknąć złośliwy link" jako zdalne. Jest to bowiem interaktywny, uwierzytelniony i lokalny atak, a pobieranie payloadu z internetu nie ma tu znaczenia. W tym miesiącu jednak, podatności takie jak CVE-2025-62557 są już poprawnie opisane jako lokalne.

Grudniowe poprawki wydano także jako niewymagający restartu pakiet hotpatch, ale mimo udostępnienia linków, nie da się go pobrać. Poprawka dla najnowszego systemu jest bardzo duża, waży 3.82 gigabajta nawet dla 25H2, ale jeżeli pobierze są Windows Update w ramach aktualizacji automatycznych, będzie ona najczęściej mniejsza. Wymagana aktualizacja stop-gap (509MB) jest zapewne już zainstalowana, a modele ONNX nie pobiorą się na komputerach bez obsługi AI. W takim przypadku, rzeczywisty rozmiar aktualizacji to już tylko 1,11GB.