أعلنت مايكروسوفت في عام 2025 أنها أصدرت تحديثات أمنية تغطي 56 ثغرة في منتجات مختلفة ضمن منصة ويندوز، من بينها ثغرة واحدة تم استغلالها بشكل نشط. وُقِس التصنيف إلى ثلاث ثغرات حرجة و53 مهمة، إضافة إلى ثغرتين إضافيتين عند الإصدار. وتشمل هذه الثغرات 29 ثغرة لرفع مستوى الصلاحيات، و18 ثغرة لتنفيذ تعليمات برمجية عن بُعد، و4 ثغرات للكشف عن المعلومات. وتوجد ثلاث ثغرات لحجب الخدمة وثغرتان لانتحال الهوية.
ثغرات رئيسية وتفاصيلها
وأفادت بيانات شركة Fortra بأن مايكروسوفت عالجت 1275 ثغرة أمنية (CVE) خلال عام 2025. وأشار ساتنام نارانج من شركة Tenable إلى أن 2025 يمثل العام الثاني على التوالي الذي تتصدر فيه مايكروسوفت صدور تحديثات لأكثر من ألف ثغرة، وهذه هي المرة الثالثة التي يحدث فيها ذلك منذ بدء تحديثات الثلاثاء. وأضافت الشركة أن 17 ثغرة إضافية طُرحت في Edge المبني على Chromium منذ إصدار تحديث نوفمبر 2025، منها ثغرة انتحال في Edge لنظام iOS (CVE-2025-62223، CVSS 4.3). وتُعرَف الثغرة النشطة حالياً بأنها CVE-2025-62221 وتُقدّر CVSS بواقع 7.8، وهي ثغرة استخدام بعد التحرير في مشغّل مرشح الملفات السحابي المصغر ضمن Windows، وتسمح للمهاجم رفع امتيازاته والسيطرة على النظام.
طرق الاستغلال والتهديدات
ووفقًا لمايك والترز، يمكن للمهاجم الحصول على صلاحيات محدودة عبر أساليب مثل التصيّد أو استغلال ثغرات المتصفحات ثم ربطها بثغرة CVE-2025-62221 للسيطرة على الجهاز. وبهذه الصلاحيات، يستطيع المهاجم نشر مكونات نواة النظام أو استغلال برامج تشغيل موقّعة للتحايل على أنظمة الحماية والبقاء على الوصول. ويُحتمل استخدام هذه الصلاحيات لتحقيق اختراق شامل للشبكة عند ربطها بسرقة بيانات الاعتماد.
