Patch Tuesday din Octombrie 2025 remediază 6 zero-day-uri și 172 de vulnerabilități

Suita Patch Tuesday a Microsoft din luna Octombrie 2025 include actualizări de securitate pentru 172 de vulnerabilități, inclusiv 6 vulnerabilități zero-day dezvăluite public.

În cadrul acestei suite au fost remediate, de asemenea, 8 vulnerabilități cu grad de severitate critic, dintre care 5 vulnerabilități de executare de cod la distanță și 3 vulnerabilități de elevare a privilegiilor.

Vulnerabilitățile remediate în funcție de categorie sunt prezentate astfel:

• 80 de vulnerabilități de tip Elevation of Privilege;
• 11 vulnerabilități de tip Feature Bypass;
• 31 vulnerabilități de tip Remote Code Execution;
• 28 vulnerabilități de tip Information Disclosure;
• 11 vulnerabilități de tip Denial of Service;
• 10 vulnerabilități de tip Spoofing.

Aceste statistici includ doar actualizările lansate de Microsoft, fără a include remedierile anterioare pentru Azure, Mariner, Microsoft Edge și alte produse.

De asemenea, este important de menționat că Windows 10 ajunge oficial la sfârșitul perioadei de suport, acesta fiind ultimul Patch Tuesday în care sistemul primește gratuit actualizări de securitate. Utilizatorii individuali pot opta pentru un an suplimentar de Extended Security Updates (ESU), iar companiile pot extinde suportul până la trei ani.

Pentru informații suplimentare despre actualizările non-security, puteți consulta articolele dedicate actualizărilor cumulative Windows 11 KB5066835 și KB5066793.

Patch Tuesday din această lună remediază 2 vulnerabilități dezvăluite public în Windows SMB Server si Microsoft SQL Server. Microsoft clasifică o vulnerabilitate zero-day ca fiind dezvăluită public sau exploatată activ, în condițiile în care nu există o soluție oficială disponibilă.

Cele 3 zero-day-uri exploatate sunt:

• CVE-2025-24990 – vulnerabilitate de tip elevation of priviledge în driverul modem din Windows Agere;
• CVE-2025-59230 – vulnerabilitate de tip elevation of priviledge în Windows Remote Access Connection Manager;
• CVE-2025-47827 – MITRE CVE-2025-47827: vulnerabilitate de tip bypass în Secure Boot în IGEL OS înainte de versiunea 11.

Vulnerabilitățile exploatate public sunt:

• CVE-2025-0033 – AMD: corupție RMP în timpul inițializării SNP;
• CVE-2025-24052 – escaladare de privilegii în driverul modemului Windows Agere;
• CVE-2025-2884 – citire în afara limitelor în implementarea de referință TCG TPM 2.0.

Se recomandă cu tărie aplicarea celor mai recente actualizări de securitate disponibile pentru a preveni posibilele exploatări.

Sursă: https://www.bleepingcomputer.com/news/microsoft/microsoft-october-2025-patch-tuesday-fixes-6-zero-days-172-flaws/