Zaktualizuj Windowsa. Wydano pierwsze poprawki w 2025 roku

Biuletyny zabezpieczeń dostępne na stronie Microsoft Security Response Center, opisujące comiesięczne pakiety aktualizacji, miały tendencje do zawyżania poziomu powagi zagrożenia. Wiele lokalnych podatności zostało błędnie oznaczonych jako zdalne, mówiąc, że exploit musi pochodzić z sieci. W taki sposób każda podatność jest zdalna, bo nie zaprogramowano jej bezpośrednio na aktualizowanym komputerze.

Styczniowe biuletyny prezentują dziesiątki podatności, z których wiele jest oznaczonych wycenami CVSS o wartościach 9.8 i 8.8. To oznacza atak niewymagający interakcji. Czy na pewno tak jest? Podatność ze szczytu listy, CVE-2025-21307, dotyczy domyślnie wyłączonego protokołu PGM. Kolejna, CVE-2025-21311, jest związana z mechanizmem NTLMv1, domyślnie nieużywanym i dotyczącym środowisk domenowych.

Dalsza część artykułu pod materiałem wideo

NTLM w ogóle jest szokująco problematyczny. Jego obecność uwydatnia... dziury w silniku tematów graficznych (Themes, CVE-2025-21308). Trzecia "najdroższa" dziura, CVE-2025-21298, dotyczy OLE i jest oznaczona jako zdalna i niewymagająca interakcji użytkownika.

I tu na nowo pojawia się nadużycie. Atak istotnie jest zdalny, bo dotyczy maila (niech będzie). Ale brak interakcji to nieprawda. Szczegóły wprost informują, że użytkownik musi samodzielnie otworzyć złośliwego maila w podatnej wersji Outlooka. To zdecydowanie interakcja. Swoją drogą, ładowanie "ubogaconych" maili w klasycznym Outlooku to już w zasadzie jedyna metoda sieciowej interakcji z OLE. Ze względu na historię, Microsoft chce zabić starego Outlooka, ale ciągle mu się to nie udaje.

"Rzadkie" i "domyślnie wyłączone" to jednak nie powody do obniżania wyceny CVSS. Oznacza to jedynie, że nie trzeba się zazwyczaj spieszyć, żeby załatać teoretycznie najważniejsze dziury - ale poprawki warto zawsze instalować przy pierwszej możliwej okazji, wbrew opinii radykałów. Nowych problemów póki co nie zgłoszono. Jak wygląda sprawa z tuzinami pozostałych podatności?

Usługi telefonii (feeria ponad trzydziestu CVE, których wypisanie przypominałoby, nomen omen, książkę telefoniczną), Windows Search, lokalnie (CVE-2025-21292), Pulpit Zdalny (CVE-2025-21309 i CVE-2025-21297, wymaga wykonania połączenia do złośliwego serwera), SPNEGO (CVE-2025-21295, GSSAPI - niespodzianka), złośliwe strumienie multimedialne (CVE-2025-21291) i Active Directory (CVE-2025-21293).

Okazuje się zatem, że większość poważnych problemów łatanych styczniowymi poprawkami to dziury w domyślnie niestosowanej usłudze Telefonii. O wiele ciekawsze są dziury oznaczone jako mniej poważne - jak na przykład możliwość wyskoczenia z Hyper-V (CVE-2025-21333, CVE-2025-21334, CVE-2025-21335). Hyper-V, naturalnie, także nie jest domyślnie włączony...

Włączone są za to dziesiątki innych mechanizmów, których obecność ułatwia pracę przestępcom, stosującym dziury o wiele mniej poważne. Dlatego instalowanie aktualizacji jest tak istotne. Osobom przekonanym, że Windows "świeżo z pudełka" działa poprawnie, a zaktualizowany magicznie przestaje, warto zwrócić uwagę, że każde bez wyjątków wydanie Windows w swojej pierwszej wersji zawierało bardzo poważne niedoróbki. Najnowsza poprawka dla Windows 11 waży 1016 megabajtów, dla Windows 10 jest to 670 megabajtów i kolejne 60 dla wymagań wstępnych.