A Microsoft kiadta a 2025-ös év utolsó, decemberi biztonsági frissítőcsomagját, amely összesen 57 sebezhetőséget orvosol a Windows ökoszisztémában. A „Foltkedd” (Patch Tuesday) ezúttal különösen fajsúlyos, mivel három nulladik napi (zero-day) hibát is tartalmaz, amelyek közül egyet a kiberbűnözők már aktívan kihasználnak a támadások során. A szakértők szerint a frissítések telepítése nem tűr halasztást, különösen a Windows 10 felhasználók számára, akiknek ez már a második fizetős (ESU) hónapjuk.
Az év utolsó nagy dobása: miért fontos a decemberi csomag?
A decemberi javítócsomag hagyományosan kritikus fontosságú, hiszen az ünnepek alatt csökkentett létszámmal működő IT-biztonsági csapatok számára rémálom lehet egy, a szabadságolások ideje alatt elindított támadássorozat. A Microsoft mostani lépése ezt hivatott megelőzni: a rendszergazdáknak és az otthoni felhasználóknak azonnal cselekedniük kell, hogy a 2026-os évet tiszta lappal kezdhessék.
Különös figyelmet érdemel a Windows 10 helyzete. Mivel az operációs rendszer hivatalos támogatása 2025 októberében lejárt, a mostani decemberi frissítést (KB5071546) már csak azok a vállalati és egyéni felhasználók kapják meg, akik előfizettek a kiterjesztett biztonsági frissítésekre (ESU). Akik ezt elmulasztották, védtelenek maradnak az újonnan felfedezett 57 rés ellen.
A legsúlyosabb fenyegetés: a Cloud Files Mini Filter hiba
A csomag legveszélyesebb eleme a CVE-2025-62221 azonosítóval ellátott sérülékenység. Ez egy úgynevezett jogosultságkiterjesztési (Elevation of Privilege) hiba, amely a Windows Cloud Files Mini Filter illesztőprogramját érinti.
Ez a komponens felelős a felhőalapú tárolók (például OneDrive) és a helyi fájlrendszer közötti szinkronizációért. A hiba kihasználásával egy támadó, aki már valamilyen módon bejutott a rendszerbe (akár korlátozott jogosultságú felhasználóként), képes lehet „SYSTEM” szintű, azaz teljes adminisztrátori jogosultságot szerezni. A Microsoft megerősítette: ezt a rést a valóságban is aktívan támadják.
PowerShell és mesterséges intelligencia a célkeresztben
A frissítés két másik, nyilvánosságra került hibát is befoltoz, amelyek bár még nem állnak aktív támadás alatt, a kódjuk ismertté vált, így csak idő kérdése volt a visszaélés.
- PowerShell parancsinjektálás (CVE-2025-54100): Ez a hiba lehetővé tette, hogy rosszindulatú weboldalakon keresztül parancsokat futtassanak a felhasználó gépén az
Invoke-WebRequestparancs segítségével. A javítás telepítése után a rendszer mostantól figyelmeztető ablakot dob fel, ha a felhasználó a biztonságosabb-UseBasicParsingkapcsoló nélkül próbál webes tartalmat lekérni. - GitHub Copilot rés (CVE-2025-64671): A fejlesztőket célzó támadás a JetBrains környezetekbe beépülő Copilot bővítményt érinti. Egy rosszindulatú projektfájl megnyitásával a támadók távolról futtathattak kódot a fejlesztő gépén, kihasználva a mesterséges intelligencia asszisztens jogosultságait.
A javítások technikai részletei
Az alábbi táblázat összefoglalja a decemberi javítócsomagban található sebezhetőségek megoszlását típus és súlyosság szerint. Jól látható, hogy a jogosultságkiterjesztés dominál, de a távoli kódfuttatás (RCE) kockázata is jelentős.
| Sebbezhetőség típusa | Darabszám | Legmagasabb kockázat | Érintett kulcsterületek |
|---|---|---|---|
| Jogosultságkiterjesztés (EoP) | 28 | Kritikus / Fontos | Kernel, Cloud Files Driver, NTFS |
| Távoli kódfuttatás (RCE) | 19 | Kritikus | Office, Outlook, PowerShell, Copilot |
| Információszivárgás | 4 | Fontos | Memóriakezelés, Kernel |
| Szolgáltatásmegtagadás (DoS) | 3 | Fontos | Hálózati stack |
| Egyéb (Spoofing) | 3 | Mérsékelt | Hitelesítési protokollok |
Magyarországi vonatkozások és vállalati kockázatok
Hazánkban még mindig rendkívül magas a Windows 10 aránya a vállalati szektorban, különösen a kis- és középvállalkozások (KKV) körében. A Nemzeti Kibervédelmi Intézet és a biztonsági szakértők folyamatosan figyelmeztetnek: az ESU programba be nem lépő cégek innentől kezdve „időzített bombán” ülnek. A most javított, aktívan kihasznált kernel-szintű hiba (CVE-2025-62221) tipikus belépési pont a zsarolóvírusok (ransomware) számára.
Egy sikeres támadás esetén nemcsak az adatvesztés kockázata áll fenn, hanem a GDPR szerinti felelősségre vonás is, hiszen a cég elmulasztotta a tőle elvárható biztonsági intézkedéseket (szoftverfrissítés) az ügyféladatok védelme érdekében. A magyar rendszergazdáknak érdemes ellenőrizniük a WSUS szervereket, mivel a Windows 11 frissítések mellett a Windows 10 ESU csomagok telepítése külön jóváhagyást igényelhet.
Kilátások 2026-ra: a biztonság új ára
A decemberi „Patch Tuesday” világosan megmutatta a Microsoft új irányát: a biztonság már nem alanyi jogon jár a régebbi rendszerekhez, hanem prémium szolgáltatás. Azok, akik Windows 11-re váltottak (vagy tervezik a váltást), automatikusan megkapták a védelmet a KB5072033-as csomaggal.
A szakértők szerint a 2026-os évben a támadók kifejezetten azokra a rendszerekre fognak vadászni, amelyek „lemaradtak” a 2025 végi átállásban. A mostani 57 hiba javítása tehát nem csupán rutinmunka, hanem az alapvető digitális higiénia része.
A frissítések telepítéséhez keresse fel a Gépház > Windows Update menüpontot, és válassza a „Frissítések keresése” lehetőséget. Az újraindítás szükséges a kernel-szintű módosítások érvénybe lépéséhez.
