A Microsoft idei novemberi „Patch Tuesday” csomagja összesen 63 sérülékenységet foltoz be Windows és kapcsolódó termékek alatt, köztük egy olyan nulladik napi (zero-day) hibát, amelyet a vállalat szerint már aktívan kihasználnak a támadók. Négy sebezhetőség kritikus besorolást kapott, ezért a frissítések mielőbbi telepítése minden Windows 10 (ESU) és Windows 11 felhasználónak erősen ajánlott.
Kontextus: mi az a Patch Tuesday, és miért fontos ez a kör?
A Patch Tuesday a Microsoft havi rendszerességű biztonsági frissítési napja: minden hónap második keddjén egyszerre érkeznek a javítások a Windows, az Office, a szervertermékek és más komponensek számára. A 2025. novemberi csomag papíron „átlagos” mennyiségű hibát tartalmaz, a súlyosságuk miatt azonban ez a kör kiemelten fontos.
A magyar tech-sajtó részletesen foglalkozott az üggyel: a PCWorld/PCWPlus kiemeli, hogy ez az első Patch Tuesday, amelyben a Windows 10 már csak az Extended Security Updates (ESU) programon keresztül kap biztonsági frissítést, miközben a Windows 11 felhasználók a megszokott Windows Update csatornán keresztül jutnak hozzá a javításokhoz. A 24.hu és más hazai oldalak külön hangsúlyozzák, hogy négy kritikus hibáról és egy aktívan kihasznált zero-dayről van szó, ezért nem érdemes halogatni a telepítést.
Mit javít a novemberi csomag?
A Microsoft hivatalos összefoglalója és a nemzetközi biztonsági blogok alapján a Patch Tuesday csomagban:
- összesen 63 sérülékenységet javítottak,
- ezek közül 1 azonnal kritikusnak tekintett zero-day (CVE-2025-62215),
- legalább 4 hiba kritikus besorolású,
- a többiek „fontos” (important) kategóriába esnek.
A zero-day hibát a Windows kernelben azonosították (CVE-2025-62215). A sebezhetőség jogosultság-kiterjesztést tesz lehetővé: ha a támadó már valamilyen módon futtat kódot a gépen, ezzel a hibával rendszerszintű (SYSTEM) jogosultságra léphet elő. Ez azért különösen veszélyes, mert egy sikeres phishing vagy rosszindulatú dokumentum után egy ilyen „második lépcsős” hiba gyakorlatilag teljes gépátvételt jelenthet.
A kritikus hibák között van legalább két távoli kódfuttatást (RCE) lehetővé tevő sebezhetőség, köztük a Windows grafikus alrendszerét érintő, magas (9,8 körüli) CVSS pontszámú hiba, amelyet akár egy gondosan preparált képállomány is kiválthat. A további kritikus hibák között szerepel egy jogosultság-kiterjesztési és egy információszivárgást okozó probléma is – a részletekben van némi eltérés a különböző szakmai blogok között, de abban egyetértenek, hogy a négy kritikus sebezhetőség kombinációja komoly kockázatot hordoz.
Hibatípusok: nem csak RCE, hanem sok EoP és adatlopás is
A magyar Origo Techbázis a Microsoft bontása alapján részletesen felsorolja, hogy a 63 sebezhetőség hogyan oszlik meg típus szerint:
- 29 jogosultság-kiterjesztési (Elevation of Privilege, EoP) hiba,
- 2 biztonsági funkciók megkerülését lehetővé tevő hiba,
- 16 távoli kódfuttatási (Remote Code Execution, RCE) sebezhetőség,
- 11 információszivárgási sebezhetőség,
- 3 szolgáltatásmegtagadási (Denial of Service, DoS) hiba,
- 2 megtévesztéses (spoofing) jellegű probléma.
Ebből látszik, hogy a „klasszikus” RCE hibák mellett rengeteg olyan javítás érkezett, amely már meglévő kompromittálás után teszi lehetővé a támadók számára, hogy szintet lépjenek – tipikusan ezek az EoP sebezhetőségek. A zero-day is ebbe a kategóriába tartozik, ezért a biztonsági szakértők azt javasolják, hogy a frissítés mellett az eseménynaplókban is érdemes gyanús aktivitást keresni.
Számok és adatok – gyors áttekintő táblázat
| Mutató | Érték |
|---|---|
| Összes javított sérülékenység | 63 |
| Zero-day hibák száma | 1 (CVE-2025-62215, Windows kernel EoP) |
| Kritikus besorolású hibák | 4 (egyes külföldi elemzések 5 kritikus hibát említenek, de a legtöbb forrás 4-et tekint irányadónak) |
| Jogosultság-kiterjesztési hibák (EoP) | 29 |
| Távoli kódfuttatási hibák (RCE) | 16 |
Windows 10 ESU, Windows 11 és az ESU-beléptetés külön javítása
A PCWorld magyar összefoglalója szerint ez a Patch Tuesday különösen érdekes a Windows 10 tábor számára. A rendszer hivatalos támogatása már lejárt, de az ESU (Extended Security Updates) program résztvevői fizetős kiterjesztett biztonsági frissítéseket kapnak. A mostani csomag az első olyan hónap, amikor a Windows 10 csak ezen az ESU-csatornán keresztül jut hivatalos javításokhoz, ezért a vállalati rendszergazdáknak fokozottan figyelniük kell arra, hogy minden érintett gép megfelelően „beléptetett” legyen az ESU-programba.
A Microsoft ehhez külön javítást is kiadott az ESU-beléptetés problémájára: egyes rendszereknél gondot okozott, hogy a Windows 10 gépek nem jelentek meg megfelelően az ESU licencelési/aktiválási rendszerben, így nem kapták volna meg automatikusan a biztonsági frissítéseket. Ez a kisegítő patch azt hivatott biztosítani, hogy az ESU-ra előfizetett gépek ne maradjanak védelem nélkül.
A Windows 11 felhasználók a megszokott módon, a Windows Update felületén keresztül kapják a novemberi frissítéseket (KB-csomagok formájában), illetve vállalati környezetben Intune, WSUS vagy más patch-menedzsment rendszeren át telepíthetők a javítások.
Mit jelent ez a gyakorlatban a felhasználóknak?
A zero-day és a kritikus hibák kombinációja azt jelenti, hogy:
- ha egy támadó már valamilyen úton bejutott (phishing, rosszindulatú dokumentum, gyenge jelszó), a kernel EoP hiba segítségével teljes rendszerszintű hozzáférést szerezhet;
- a kritikus RCE sebezhetőségek révén már a kezdeti bejutáshoz sem feltétlenül kell felhasználói interakció – elég lehet egy speciálisan készített kép vagy más tartalom megnyitása;
- a javítatlan rendszerek kockázatát a következő hetekben várhatóan tovább növeli, hogy a javítások publikálása után a sebezhetőségek részletei ismertek lesznek, így a támadók gyorsan elkészíthetik a saját exploitjaikat.
Vállalati oldalon ez azt jelenti, hogy a novemberi patch-kört érdemes a lehető leggyorsabban végigvinni, előre ütemezett, de rövid határidejű karbantartási ablakokkal. Különösen azok a szerverek, terminálszerverek, távoli elérésre használt gépek és laptopflották kritikusak, amelyek napi szinten ki vannak téve internetes vagy e-mailes támadásoknak.
Magyar vonatkozás: mire figyeljen egy hazai cég vagy otthoni felhasználó?
A hazai sajtó egyöntetűen azt tanácsolja, hogy a magyar felhasználók se várjanak a frissítéssel. A gyakorlatban ez a következőket jelenti:
- Otthoni felhasználóknak célszerű a Windows Update-ben kézzel is ellenőrizni, hogy nincs-e függőben lévő frissítés, és elindítani a telepítést, majd újraindítani a gépet.
- Kisvállalkozásoknál, ahol nincs dedikált IT, legalább a könyveléshez, távoli bankoláshoz, ügyféladatokhoz használt gépeket kell első körben frissíteni.
- Nagyvállalatoknál a patch-menedzsment már szabályozott folyamat, de most érdemes a kritikus minősítésű kitettségeket (RCE, zero-day EoP) külön prioritásként kezelni.
Magyar szempontból fontos még, hogy a Windows 10 gépek ESU nélkül már nem kapnak automatikus biztonsági javításokat. Ha ilyen rendszer még éles környezetben fut, két reális lépés marad: vagy ESU-ra előfizetni (tipikusan céges környezetben), vagy ütemezetten Windows 11-re migrálni a gépeket.
Mit tegyél most? – rövid checklist
- Ellenőrizd a Windows Update állapotát minden Windows 11 gépen, és telepítsd a novemberi kumulatív frissítéseket.
- Ha Windows 10-et használsz, döntsd el: ESU-t veszel igénybe, vagy inkább a Windows 11-re lépsz tovább – a „nem frissítünk, majd lesz valahogy” stratégia a zero-day fényében különösen kockázatos.
- Vállalati környezetben készíts rövid priorizálási listát: internetre nyitott szerverek, RDP-t kínáló gépek, VPN-végpontok, kulcsfontosságú munkaállomások – ezek kapják meg elsőként a javításokat.
- Figyeld az eseménynaplókat és a biztonsági megoldások (EDR, AV) riasztásait, különösen jogosultság-kiterjesztésre vagy gyanús kernel-szintű aktivitásra utaló jelek esetén.
GYIK – gyakori kérdések a novemberi Microsoft-frissítésről
- Meddig „elég biztonságos” halogatni a frissítést?
Röviden: nem nagyon van mozgástér. A zero-day már most is aktív, és a javítások nyilvánosságra kerülése után az exploit-kódok terjedése fel fog gyorsulni.
- Ha bekapcsoltam az automatikus frissítést, hátradőlhetek?
Nem teljesen. Érdemes manuálisan is ránézni a Windows Update felületére, és ellenőrizni, hogy a legutóbbi kumulatív frissítés valóban települt-e, illetve történt-e újraindítás.
- Windows 10 Home/Pro gépen, ESU nélkül mit tehetek?
Hivatalosan már nem kapsz biztonsági javításokat. Ha fontos adatok vannak a gépen, reális megoldás a Windows 11-re váltás, vagy egy újabb, támogatott eszköz beszerzése.
- Érinti-e ez a frissítés az Office-t és egyéb Microsoft-szolgáltatásokat?
Igen, a Patch Tuesday csomag tipikusan több terméket érint (Office, SQL Server, Azure-komponensek stb.), ezért szerveroldalon és felhős környezetben is fontos a frissítési hullám végigvitele.
