ביום שלישי האחרון מיקרוסופט שיגרה את עדכון ה- "Patch Tuesday" האחרון לשנת 2025 – עדכון ענק שכלל בתוכו תיקונים רבים.
במסגרת העדכון תוקנו 56 פגיעויות ובכך נחתמה השנה עם מספר שיא של 1,139 פגיעויות שתוקנו על ידי החברה לאורך כל 2025. הפגיעויות במערכת ההפעלה ווינדוס (Windows) ואופיס (Office), שטופלו השפיעו גם על מגוון שירותים נוספים, כמו Azure, Copilot, Defender, Exchange ו- PowerShell. עדכון האבטחה הגדול הבא כבר בדרך ומתוכנן ל- 13 בינואר 2026.
הפגיעויות בווינדוס
עדכון האבטחה האחרון של מיקרוסופט מתמקד בעיקר במערכות ההפעלה ווינדוס וכולל בתוכו תיקונים ל- 38 פגיעויות. הפגיעות החמורה ביותר שזוהתה – CVE-2025-62221, מאפשרת לתוקפים להשיג הרשאות מערכת מלאות ומדובר בפגיעות שכבר מנוצלת בפועל להתקפות. הפגיעות קיימת בכל הגרסאות של ווינדוס, כולל Windows 10, שהתמיכה בה הסתיימה רשמית באוקטובר.
החברה תיקנה גם פגיעויות מסוכנות נוספות שלא נחשבות לחמורות. בין היתר, נסגרו חורי אבטחה ב- DirectX ותוקנה גם פגיעות RCE (ראשי תיבות של Remote Code Execution) ב- PowerShell, המאפשרת הרצת קוד מרחוק על המחשב. מיקרוסופט מדגישה כי העדכון הזה, הכולל תיקונים גם בשירותי RRAS, חיוני לשמירה על סביבת עבודה מאובטחת.
פגיעויות באופיס
ה- "Patch Tuesday" כולל בתוכו גם תיקונים קריטיים לחבילת אופיס – סך הכול 15 תיקונים לפגיעויות הקיימות במוצרים שהוא מציע. מתוך ה- 15, רק 2 סווגו כחמורות על ידי מיקרוסופט.
שתי הפגיעויות הקריטיות שנמצאו הן CVE-2025-62554 ו- 2025-62557, המאפשרות תקיפה מסוג "צפייה בלבד". כלומר, התוקף יכול להריץ קוד זדוני על מחשב הקורבן, גם בלי שהוא פתח את הקובץ בפועל. מספיק שהוא רק ילחץ על הקובץ בתצוגה המקדימה.
רוב הפגיעויות באופיס הן מסוג RCE, השאר הן פגיעויות שסווגו כמסוכנות ממש, אך בהן המשתמש צריך לפתוח את הקובץ המצורף. העדכון גם כולל תיקונים לפגיעויות הקיימות באפליקציות פופולריות: 6 פגיעויות תוקנו באקסל (Excel), 3 בוורד (Word), ואחת בכל אחד מהיישומים – אאוטלוק (Outlook) ואקסס (Access).
מיקרוסופט לא פירטה יותר מידי על הפגיעויות הללו, אך מבקשת מהמשתמשים להוריד את העדכון מיד, כדי למנוע מתוקפים לנצל אותן. חלק מהפגיעויות כבר נוצלו על ידי תוקפים.
החברה לא קיפחה את הדפדפן אדג' (Edge) ושחררה גם עבורו עדכון אבטחה – 143.0.7499.41. עדכון זה מטפל במספר פגיעויות שמקורן בכרומיום (Chromium) ומתקן גם את הפגיעות CVE-2025-62223 שקיימת בדפדפן עצמו.
