Alert GCSA-25129 - Microsoft Monthly Security Update - dicembre 2025
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
******************************************************************
alert ID: GCSA-25129
data: 10 dicembre 2025
titolo: Microsoft Monthly Security Update - dicembre 2025
******************************************************************
:: Descrizione del problema
Microsoft ha pubblicato il security update per il mese di dicembre 2025.
Con questa release vengono risolte 57 vulnerabilita', delle quali 3 classificate come critiche.
La seguente vulnerabilita' risulta in corso di sfruttamento:
CVE-2025-62221 (CVSS score: 7.8)
Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnerability
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2025-62221
Altre due vulnerabilita' per le quali risulta disponibile un PoC in rete sono le seguenti:
CVE-2025-54100 (CVSS score: 7.8)
A command injection vulnerability in Windows PowerShell that allows an unauthorized attacker to execute code locally
CVE-2025-64671 (CVSS score: 8.4)
A command injection vulnerability in GitHub Copilot for JetBrains that allows an unauthorized attacker to execute code locally
Maggiori dettagli sono disponibili alla sezione "Riferimenti".
:: Software / Tecnologie interessate
Windows
Microsoft Office
Extended Security Updates (ESU)
Developer Tools
Azure
Exchange Server
Browser
Apps
:: Impatto
Esecuzione remota di codice arbitrario (RCE)
Acquisizione di privilegi piu' elevati (EoP)
Rivelazione di informazioni (ID)
Denial of Service (DoS)
Spoofing (Provide Misleading Information)
:: Soluzioni
In Windows per default gli aggiornamenti avvengono in maniera automatica.
Per verificare manualmente la disponibilita' di aggiornamenti scegliere
Start > Impostazioni > Aggiornamento e Sicurezza > Windows Update
Verificare di aver installato la versione piu' recente del
Servicing Stack Updates
https://msrc.microsoft.com/update-guide/vulnerability/ADV990001
https://docs.microsoft.com/it-it/windows/deployment/update/servicing-stack-updates
MSRC Security Update Guide
https://msrc.microsoft.com/update-guide/deployments
Windows Update domande frequenti
https://support.microsoft.com/en-us/help/12373/windows-update-faq
Dall 14 ottobre 2025 Microsoft ha interrotto il supporto ufficiale per Windows 10.
Solo gli utenti consumer europei potranno ricevere gratis, per un altro anno, le patch di sicurezza.
Programma Extended Security Updates (ESU)
https://support.microsoft.com/it-it/windows/2ca8b313-1946-43d3-b55c-2b95b107f281
:: Riferimenti
Microsoft Security Updates - Release Notes
https://msrc.microsoft.com/update-guide/releaseNote/2025-Dec
ACN Agenzia per la cybersicurezza nazionale
https://www.acn.gov.it/portale/w/aggiornamenti-mensili-microsoft-13
Mitre CVE
I riferimenti CVE sono disponibili nell'advisory originale.
GARR CERT Security Alert - subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iGsEAREIACsWIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCaTmC5A0cY2VydEBnYXJy
Lml0AAoJEMGcTJNlEmBCpVcAoIxP9CIxtTcFUHSpXtJiFXV1MUx9AKCDjvSLsZAF
38d1MQrWjrnixGQvaQ==
=baHp
-----END PGP SIGNATURE-----
Hash: SHA256
******************************************************************
alert ID: GCSA-25129
data: 10 dicembre 2025
titolo: Microsoft Monthly Security Update - dicembre 2025
******************************************************************
:: Descrizione del problema
Microsoft ha pubblicato il security update per il mese di dicembre 2025.
Con questa release vengono risolte 57 vulnerabilita', delle quali 3 classificate come critiche.
La seguente vulnerabilita' risulta in corso di sfruttamento:
CVE-2025-62221 (CVSS score: 7.8)
Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnerability
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2025-62221
Altre due vulnerabilita' per le quali risulta disponibile un PoC in rete sono le seguenti:
CVE-2025-54100 (CVSS score: 7.8)
A command injection vulnerability in Windows PowerShell that allows an unauthorized attacker to execute code locally
CVE-2025-64671 (CVSS score: 8.4)
A command injection vulnerability in GitHub Copilot for JetBrains that allows an unauthorized attacker to execute code locally
Maggiori dettagli sono disponibili alla sezione "Riferimenti".
:: Software / Tecnologie interessate
Windows
Microsoft Office
Extended Security Updates (ESU)
Developer Tools
Azure
Exchange Server
Browser
Apps
:: Impatto
Esecuzione remota di codice arbitrario (RCE)
Acquisizione di privilegi piu' elevati (EoP)
Rivelazione di informazioni (ID)
Denial of Service (DoS)
Spoofing (Provide Misleading Information)
:: Soluzioni
In Windows per default gli aggiornamenti avvengono in maniera automatica.
Per verificare manualmente la disponibilita' di aggiornamenti scegliere
Start > Impostazioni > Aggiornamento e Sicurezza > Windows Update
Verificare di aver installato la versione piu' recente del
Servicing Stack Updates
https://msrc.microsoft.com/update-guide/vulnerability/ADV990001
https://docs.microsoft.com/it-it/windows/deployment/update/servicing-stack-updates
MSRC Security Update Guide
https://msrc.microsoft.com/update-guide/deployments
Windows Update domande frequenti
https://support.microsoft.com/en-us/help/12373/windows-update-faq
Dall 14 ottobre 2025 Microsoft ha interrotto il supporto ufficiale per Windows 10.
Solo gli utenti consumer europei potranno ricevere gratis, per un altro anno, le patch di sicurezza.
Programma Extended Security Updates (ESU)
https://support.microsoft.com/it-it/windows/2ca8b313-1946-43d3-b55c-2b95b107f281
:: Riferimenti
Microsoft Security Updates - Release Notes
https://msrc.microsoft.com/update-guide/releaseNote/2025-Dec
ACN Agenzia per la cybersicurezza nazionale
https://www.acn.gov.it/portale/w/aggiornamenti-mensili-microsoft-13
Mitre CVE
I riferimenti CVE sono disponibili nell'advisory originale.
GARR CERT Security Alert - subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iGsEAREIACsWIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCaTmC5A0cY2VydEBnYXJy
Lml0AAoJEMGcTJNlEmBCpVcAoIxP9CIxtTcFUHSpXtJiFXV1MUx9AKCDjvSLsZAF
38d1MQrWjrnixGQvaQ==
=baHp
-----END PGP SIGNATURE-----