اولین بروزرسانی مایکروسافت بعد از پایان پشتیبانی از ویندوز 10 منتشر شد. برای اینکه بتونید این بروزرسانی امنیتی رو برای ویندوز 10 دریافت کنید، باید در برنامه ی (Extended Security Updates – ESU) مایکروسافت ثبت نام کنید. با این کار به مدت یک سال، تا 16 اکتبر 2026 همچنان بروزرسانی های امنیتی رو دریافت میکنید. نحوه ی ثبت نام در برنامه ی ESU رو میتونید از اینجا مشاهده کنید.
در Patch Tuesday نوامبر 2025، مایکروسافت 68 آسیب پذیری رو در محصولات مختلفش اصلاح کرده که یک موردش زیرودی بوده و در حملاتی مورد اکسپلویت قرار گرفته.
در آپدیت این ماه ، طبقه بندی آسیب پذیری ها به شرح زیر :
افزایش امتیاز(EOP): 29
اجرای کد (RCE): 21
افشای اطلاعات (INFO): 11
جعل (Spoofing): 2
منع سرویس (DOS): 3
دور زدن ویژگی های امنیتی (SFB): 2
شدت آسیب پذیری های اصلاح شده، در این ماه هم بصورت زیر:
شدت بحرانی : 4 مورد
شدت مهم: 59 مورد
شدت بالا: 3 مورد
شدت متوسط: 2 مورد
آسیب پذیریهای زیرودی (0DAY):
آسیب پذیری زیرودی اکسپلویت شده:
آسیب پذیری CVE-2025-62215:
آسیب پذیری از نوع CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization (‘Race Condition’) و CWE-415: Double Free هستش و در Windows Kernel رخ میده. امتیاز 7.0 و شدت مهم داره. اکسپلویت موفق منجر به افزایش امتیاز به SYSTEM میشه.
آسیب پذیری توسط Microsoft Threat Intelligence Center (MSTIC) و Microsoft Security Response Center (MSRC) گزارش شده و در حملاتی مورد اکسپلویت قرار گرفته. فعلا جزییات زیادی در این خصوص منتشر نشده.
محصولات تحت تاثیر:
Windows Server 2025
Windows 11 Version 24H2
Windows Server 2022, 23H2 Edition
Windows 11 Version 23H2
Windows 11 Version 25H2
Windows 10 Version 22H2
Windows 10 Version 21H2
Windows Server 2022
Windows Server 2019
Windows 10 Version 1809
آسیب پذیری های بحرانی:
آسیب پذیری CVE-2025-60716:
آسیب پذیری از نوع CWE-416: Use After Free و در DirectX Graphics رخ میده و امتیاز 7.0 داره. اکسپلویت موفق، منجر به افزایش امتیاز به SYSTEM میشه.
محصولات تحت تاثیر:
Windows Server 2025
Windows 11 Version 24H2
Windows Server 2022, 23H2 Edition
Windows 11 Version 23H2
Windows 11 Version 25H2
Windows 10 Version 22H2
Windows 10 Version 21H2
Windows Server 2022
Windows Server 2019
Windows 10 Version 1809
آسیب پذیری CVE-2025-62199:
آسیب پذیری از نوع CWE-416: Use After Free و در Microsoft Office رخ میده. امتیاز 7.8 داره. امکان اجرای کد رو به مهاجم میده.
آسیب پذیری از نوع Arbitrary Code Execution (ACE) هستش، یعنی مهاجم بصورت محلی اکسپلویت رو انجام میده و کلمه ی ریموت بیشتر موقعیت هکر رو مشخص میکنه. برای اکسپلویت، مهاجم باید قربانی رو فریب بده تا فایلی رو دانلود و اجرا کنه. Preview Pane جزء بردار حمله است.
محصولات تحت تاثیر:
Microsoft Office LTSC for Mac 2024
Microsoft Office LTSC for Mac 2021
Microsoft 365 Apps for Enterprise
Microsoft Office for Android
Microsoft Office LTSC 2024
Microsoft Office LTSC 2021
Microsoft Office 2016
آسیب پذیری CVE-2025-30398:
آسیب پذیری از نوع CWE-862: Missing Authorization و در Nuance PowerScribe 360 رخ میده. امتیاز 8.1 داره و امکان افشای اطلاعات رو به مهاجم میده.
یک مهاجم احراز هویت نشده با برقراری یک فراخوانی API به یک نقطه پایانی خاص، میتونه این آسیبپذیری رو اکسپلویت کنه. بعدش مهاجم میتونه از دادهها برای دسترسی به تنظیمات پیکربندی PowerScribe استفاده کنه.
نرمافزار Nuance PowerScribe یکی از محصولات شرکت Nuance Communications (زیرمجموعه Microsoft) است که برای رادیولوژیستها و مراکز تصویربرداری پزشکی طراحی شده. این نرمافزار در واقع یک سیستم تشخیص گفتار و گزارش نویسی پزشکی هستش.
محصولات تحت تاثیر:
PowerScribe One
Nuance PowerScribe 360
Nuance PowerScribe One
آسیب پذیری CVE-2025-62214:
آسیب پذیری از نوع CWE-77: Improper Neutralization of Special Elements used in a Command (‘Command Injection’) و در Visual Studio رخ میده. امتیاز 6.7 و امکان RCE رو به مهاجم میده.
آسیب پذیری از نوع Arbitrary Code Execution (ACE) هستش، یعنی اکسپلویت بصورت محلی اجرا میشه. کلمه ی ریموت بیشتر به موقعیت هکر اشاره داره.
