Microsoft merilis pembaruan untuk memperbaiki setidaknya 56 kerentanan keamanan pada sistem operasi Windows dan perangkat lunak pendukungnya. Patch Tuesday terakhir tahun 2025 ini menangani satu celah zero-day yang sudah dieksploitasi, serta dua kerentanan yang telah diungkap ke publik.
Meskipun merilis jumlah pembaruan keamanan yang lebih rendah dari biasanya dalam beberapa bulan terakhir, Microsoft menambal sebanyak 1.129 kerentanan sepanjang tahun 2025, sebuah peningkatan 11,9% dari tahun 2024. Menurut Satnam Narang dari Tenable, tahun ini menandai tahun kedua berturut-turut Microsoft menambal lebih dari seribu kerentanan, dan ketiga kalinya sejak perusahaan tersebut didirikan.
Celah zero-day yang ditambal hari ini adalah CVE-2025-62221, sebuah kerentanan peningkatan hak akses yang memengaruhi Windows 10 dan versi yang lebih baru. Kelemahan ini terletak pada komponen yang disebut “Windows Cloud Files Mini Filter Driver”, sebuah driver sistem yang memungkinkan aplikasi cloud mengakses fungsionalitas sistem file.
“Ini sangat mengkhawatirkan, karena mini filter merupakan bagian integral bagi layanan seperti OneDrive, Google Drive, dan iCloud, dan tetap menjadi komponen inti Windows, bahkan jika tidak ada aplikasi tersebut yang terinstal,” kata Adam Barnett, insinyur perangkat lunak utama di Rapid7.
Hanya tiga dari kerentanan yang ditambal hari ini yang mendapatkan peringkat “kritis” paling serius dari Microsoft. Baik CVE-2025-62554 maupun CVE-2025-62557 melibatkan Microsoft Office, dan keduanya dapat dieksploitasi hanya dengan melihat pesan email jebakan di Panel Pratinjau. Celah kritis lainnya, CVE-2025-62562, melibatkan Microsoft Outlook, meskipun Microsoft menyatakan Panel Pratinjau bukan vektor serangan untuk yang satu ini.
Namun, menurut Microsoft, kerentanan yang paling mungkin dieksploitasi dari paket pembaruan bulan ini adalah celah peningkatan hak akses lainnya (non-kritis), termasuk:
- CVE-2025-62458, Win32k
- CVE-2025-62470, Windows Common Log File System Driver
- CVE-2025-62472, Windows Remote Access Connection Manager
- CVE-2025-59516, Windows Storage VSP Driver
- CVE-2025-59517, Windows Storage VSP Driver
Kev Breen, direktur senior riset ancaman di Immersive, mengatakan bahwa celah peningkatan hak akses ditemukan di hampir setiap insiden yang melibatkan kompromi host.
“Kami tidak tahu mengapa Microsoft secara khusus menandai ini sebagai lebih mungkin [dieksploitasi], tetapi sebagian besar komponen ini secara historis telah dieksploitasi di dunia nyata atau memiliki detail teknis yang cukup pada CVE sebelumnya sehingga lebih mudah bagi aktor ancaman untuk menjadikan ini sebagai senjata,” kata Breen. “Bagaimanapun, meskipun belum dieksploitasi secara aktif, ini harus ditambal sesegera mungkin.”
Salah satu kerentanan yang lebih menarik yang ditambal bulan ini adalah CVE-2025-64671, sebuah celah eksekusi kode jarak jauh pada Github Copilot Plugin untuk asisten pengkodean berbasis AI Jetbrains yang digunakan oleh Microsoft dan GitHub. Breen mengatakan celah ini akan memungkinkan penyerang untuk mengeksekusi kode arbitrer dengan mengelabui model bahasa besar (LLM) untuk menjalankan perintah yang melewati pengaturan “persetujuan otomatis” pengguna.
CVE-2025-64671 adalah bagian dari krisis keamanan yang lebih luas dan sistemik yang oleh peneliti keamanan Ari Marzuk disebut IDEsaster (IDE adalah singkatan dari “integrated development environment”). Krisis ini mencakup lebih dari 30 kerentanan terpisah yang dilaporkan di hampir selusin platform pengkodean AI terkemuka di pasar, termasuk Cursor, Windsurf, Gemini CLI, dan Claude Code.
Kerentanan lain yang diungkap ke publik dan ditambal hari ini adalah CVE-2025-54100, sebuah celah eksekusi kode jarak jauh di Windows Powershell pada Windows Server 2008 dan versi yang lebih baru. Celah ini memungkinkan penyerang yang tidak terautentikasi menjalankan kode dalam konteks keamanan pengguna.
Bagi siapa pun yang mencari rincian yang lebih mendalam tentang pembaruan keamanan yang dirilis Microsoft, silakan lihat ringkasan di SANS Internet Storm Center.
Sumber: krebsonsecurity.com