To największa taka aktualizacja od 2017 roku. Microsoft naprawił dziesiątki błędów

Firma Microsoft rozpoczęła nowy rok z przytupem, publikując największą od lat aktualizację z cyklu Patch Tuesday, w której naprawiono aż 161 luk w zabezpieczeniach.

To rekordowa liczba dla jednego miesiąca, i jak podaje Zero Day Initiative, największa od co najmniej 2017 roku. Aktualizacja styczniowa obejmuje 11 luk oznaczonych jako krytyczne, 149 oznaczonych jako ważne, a także trzy luki typu zero-day aktywnie wykorzystywane w atakach oraz pięć publicznie znanych luk.

Trzy luki zero-day: priorytet dla użytkowników Windows Hyper-V

W centrum uwagi znalazły się trzy luki typu zero-day, dotyczące Windows Hyper-V NT Kernel Integration VSP. Są to: CVE-2025-21333, CVE-2025-21334 i CVE-2025-21335. Wszystkie trzy mają wynik CVSS na poziomie 7,8, co oznacza wysokie ryzyko. Mogą one umożliwić atakującym uzyskanie uprawnień systemowych, co stanowi poważne zagrożenie. Microsoft potwierdził, że te luki są aktywnie wykorzystywane przez cyberprzestępców, co czyni ich załatanie sprawą najwyższej wagi. Luki zero-day to szczególnie niebezpieczne podatności, ponieważ w momencie ich wykrycia nie istnieją jeszcze poprawki, co sprawia, że dostawca oprogramowania ma „zero dni” na reakcję.

Krytyczne luki w zabezpieczeniach: szczegóły techniczne

W ramach aktualizacji naprawiono także 11 krytycznych luk, w tym:

• CVE-2025-21294 – Luka w zabezpieczeniach uwierzytelniania Microsoft Digest, umożliwiająca zdalne wykonanie kodu.

• CVE-2025-21295 – Podatność w rozszerzonym mechanizmie zabezpieczeń negocjacji SPNEGO, również pozwalająca na zdalne wykonanie kodu.

• CVE-2025-21298 – Luka w łączeniu i osadzaniu obiektów systemu Windows (OLE), umożliwiająca zdalne wykonanie kodu.

• CVE-2025-21307 – Luka w sterowniku transportu multiemisji systemu Windows.

• CVE-2025-21311 – Luka w protokole Windows NTLM V1, pozwalająca na podniesienie uprawnień.

Publicznie znane podatności i wycieki danych

Microsoft zajął się także pięcioma lukami, które były wcześniej publicznie znane:

• Trzy dotyczące programu Microsoft Access (CVE-2025-21186, CVE-2025-21366, CVE-2025-21395), umożliwiające zdalne wykonanie kodu;

• Luka w instalatorze pakietów aplikacji systemu Windows (CVE-2025-21275), pozwalająca na podniesienie uprawnień;

• Luka w motywach systemu Windows (CVE-2025-21308), która mogła być wykorzystana do podszywania się.

Jednym z bardziej niepokojących odkryć jest luka w mechanizmie BitLocker (CVE-2025-21210). Jeśli ktoś uzyska fizyczny dostęp do dysku twardego, może odzyskać obrazy hibernacji, co może prowadzić do wycieku wrażliwych danych.

Rekomendacje dla użytkowników i organizacji

Eksperci ds. cyberbezpieczeństwa podkreślają konieczność jak najszybszego wdrożenia styczniowych poprawek, zwłaszcza w przypadku luk typu zero-day oraz tych oznaczonych jako krytyczne. W USA wydano nawet federalny nakaz załatania luk do 4 lutego 2025 r.