{"id":144602,"date":"2025-12-11T10:27:10","date_gmt":"2025-12-11T10:27:10","guid":{"rendered":"https:\/\/www.europesays.com\/pl\/144602\/"},"modified":"2025-12-11T10:27:10","modified_gmt":"2025-12-11T10:27:10","slug":"zaktualizuj-windowsa-wydano-grudniowe-poprawki","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/pl\/144602\/","title":{"rendered":"Zaktualizuj Windowsa. Wydano grudniowe poprawki"},"content":{"rendered":"

Tym razem na samej g\u00f3rze listy podatno\u015bci znalaz\u0142 si\u0119 nie Windows, nie Exchange, a\u00a0produkt o\u00a0nazwie azl3 6.6. Jest to j\u0105dro linuksowe systemu Azure Linux<\/a> 3.0, a\u00a0znalezione w\u00a0nim podatno\u015bci (jest ich siedem) niekoniecznie s\u0105 autorstwa samego Microsoftu. S\u0105 to dziury zidentyfikowane bezpo\u015brednio w\u00a0kernelu, wi\u0119c w\u00a0ten sam spos\u00f3b, co Azure Linux, dotycz\u0105 np. Ubuntu.<\/p>\n

Znowu routing<\/p>\n

Pierwszy problem zwi\u0105zany z\u00a0Windowsem pojawia si\u0119 dopiero na dziesi\u0105tym miejscu na li\u015bcie! Zbi\u00f3r najpowa\u017cniejszych problem\u00f3w z\u00a0Windows wart \u0142atania w\u00a0grudniu ze wzgl\u0119du na mo\u017cliwo\u015b\u0107 zdalnego wykonania kodu, dotyczy jednak komponentu serwerowego. Podatno\u015bci CVE-2025-64678<\/a> i\u00a0CVE-2025-62549<\/a> to (kolejny miesi\u0105c z\u00a0rz\u0119du) nowa dawka dziur w\u00a0us\u0142udze Routing i\u00a0Dost\u0119p Zdalny (RRAS<\/a>). Domy\u015blnie jest ona wy\u0142\u0105czona, a\u00a0cz\u0119\u015b\u0107 API tego komponentu odpowiada za obs\u0142ug\u0119 VPN.<\/p>\n

<\/p>\n

Nawet je\u017celi RRAS jest w\u0142\u0105czony, okoliczno\u015bci umo\u017cliwiaj\u0105ce jego z\u0142o\u015bliwe wykorzystanie s\u0105 do\u015b\u0107 z\u0142o\u017cone, a\u00a0atakuj\u0105cy musi mie\u0107 troch\u0119 szcz\u0119\u015bcia. W\u00a0pierwszym przypadku wymagane jest sk\u0142onienie serwera do pr\u00f3by nawi\u0105zania po\u0142\u0105czenia wychodz\u0105cego z\u00a0podstawionym innym, z\u0142o\u015bliwym serwerem. W\u00a0drugim w\u00a0og\u00f3le zachodzi konieczno\u015b\u0107 cz\u0142onkostwa w\u00a0domenie Active Directory<\/a>, co znacz\u0105co ogranicza liczb\u0119 \u015brodowisk, w\u00a0kt\u00f3rym \u0142atane w\u00a0grudniu luki mog\u0105 by\u0107 wykorzystane.<\/p>\n

Podatno\u015bci w\u00a0RRAS ponownie s\u0105 \u0142atane dziesi\u0105tkami poprawek, co oznacza \u017ce s\u0105 obecne we wszystkich obs\u0142ugiwanych systemach. Poniewa\u017c wydano mi\u0119dzy innymi poprawk\u0119 w\u00a0wersji 6.0.6003.23666 (do wci\u0105\u017c obs\u0142ugiwanego Windows Server 2008<\/a>), dziurawa implementacja znajduje si\u0119 w\u00a0systemie ju\u017c od czas\u00f3w Visty, co oznacza ju\u017c niemal dwie dekady –\u00a0a\u00a0prawdopodobnie wi\u0119cej.<\/p>\n

A nowo\u015bci?<\/p>\n

Jedyn\u0105 „zdaln\u0105” dziur\u0105 znalezion\u0105 w\u00a0jakimkolwiek nowoczesnym elemencie Windowsa jest podatno\u015b\u0107 w\u00a0systemie plik\u00f3w ReFS<\/a> (CVE-2025-62456). Dotyczy ona jedynie system\u00f3w Windows 11 oraz Windows Server 2022 i\u00a02025. Cho\u0107 zdalne wykonanie kodu nast\u0119puje poprzez wdanie si\u0119 w\u00a0interakcj\u0119 z\u00a0udzia\u0142em udost\u0119pnionym zlokalizowanym na partycji ReFS, wymagane jest uwierzytelnienie, by otrzyma\u0107 dost\u0119p do zasobu. Podatno\u015b\u0107 nie jest dok\u0142adnie opisana i\u00a0wydaje si\u0119, \u017ce jej zakres wp\u0142ywu ko\u0144czy si\u0119 w\u0142a\u015bnie na udziale sieciowym, cho\u0107 nie jest to do ko\u0144ca jasne.<\/p>\n

Kolejn\u0105 dobr\u0105 wiadomo\u015bci\u0105, poza faktem ma\u0142ej ilo\u015bci powa\u017cnych dziur, jest wzrost jako\u015bci ocen CVSS. Spad\u0142a liczba notatek opisuj\u0105cych podatno\u015bci typu „u\u017cytkownik musi klikn\u0105\u0107 z\u0142o\u015bliwy link” jako zdalne. Jest to bowiem interaktywny, uwierzytelniony i\u00a0lokalny atak, a\u00a0pobieranie payloadu z\u00a0internetu nie ma tu znaczenia. W\u00a0tym miesi\u0105cu jednak, podatno\u015bci takie jak CVE-2025-62557 s\u0105 ju\u017c poprawnie opisane jako lokalne. <\/p>\n

Windows Update zmniejsza poprawki<\/p>\n

Grudniowe poprawki wydano tak\u017ce jako niewymagaj\u0105cy restartu pakiet hotpatch, ale mimo udost\u0119pnienia link\u00f3w, nie da si\u0119 go pobra\u0107. Poprawka dla najnowszego systemu jest bardzo du\u017ca, wa\u017cy 3.82 gigabajta nawet dla 25H2, ale je\u017celi pobierze s\u0105 Windows Update w\u00a0ramach aktualizacji automatycznych, b\u0119dzie ona najcz\u0119\u015bciej mniejsza. Wymagana aktualizacja stop-gap (509MB) jest zapewne ju\u017c zainstalowana, a\u00a0modele ONNX<\/a> nie pobior\u0105 si\u0119 na komputerach bez obs\u0142ugi AI. W\u00a0takim przypadku, rzeczywisty rozmiar aktualizacji to ju\u017c tylko 1,11GB.<\/p>\n

Kamil J. Dudek, wsp\u00f3\u0142pracownik redakcji dobreprogramy.pl<\/p>\n","protected":false},"excerpt":{"rendered":"Tym razem na samej g\u00f3rze listy podatno\u015bci znalaz\u0142 si\u0119 nie Windows, nie Exchange, a\u00a0produkt o\u00a0nazwie azl3 6.6. Jest…\n","protected":false},"author":2,"featured_media":144603,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[20],"tags":[120,118,119,42,38,40,39,41,116,114,115,121,117],"class_list":{"0":"post-144602","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-nauka-i-technika","8":"tag-nauka","9":"tag-nauka-i-technika","10":"tag-naukatechnika","11":"tag-pl","12":"tag-poland","13":"tag-polish","14":"tag-polska","15":"tag-polski","16":"tag-science","17":"tag-science-and-technology","18":"tag-sciencetechnology","19":"tag-technika","20":"tag-technology"},"share_on_mastodon":{"url":"https:\/\/pubeurope.com\/@pl\/115700462531956259","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/posts\/144602","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/comments?post=144602"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/posts\/144602\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/media\/144603"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/media?parent=144602"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/categories?post=144602"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/tags?post=144602"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}