Microsoft ha rilasciato il Patch Tuesday di novembre 2025 con una significativa riduzione del carico di vulnerabilità rispetto al mese precedente, correggendo 63 falle di sicurezza distribuite tra Windows, Office, Edge basato su Chromium, Azure Monitor Agent, Dynamics 365, Hyper-V, SQL Server e Windows Subsystem for Linux GUI. Il dato rappresenta un netto contrasto con le 177 CVE risolte a ottobre, potenzialmente collegato anche alla decisione di Microsoft di interrompere il supporto per Windows 10, che da questo mese non riceve più aggiornamenti di sicurezza.
La distribuzione per severità vede quattro vulnerabilità classificate come Critical e ben 59 come Important. Un elemento che differenzia questo aggiornamento dai precedenti è l'assenza di vulnerabilità già pubblicamente note al momento del rilascio, con un'unica eccezione che però riveste particolare gravità: una zero-day nel kernel di Windows già sfruttata attivamente in the wild.
La falla più critica porta il codice CVE-2025-62215 e ha ottenuto un punteggio CVSS di 7.0. Si tratta di una vulnerabilità di elevazione dei privilegi nel kernel Windows, causata da una race condition nella gestione di risorse condivise con sincronizzazione impropria. L'exploitation richiede che l'attaccante vinca una condizione di competizione temporale, ma in caso di successo garantisce privilegi SYSTEM, il massimo livello di accesso su sistemi Windows.
Microsoft ha confermato che la CVE-2025-62215 è stata attivamente sfruttata prima del rilascio della patch, classificandola quindi come zero-day al momento della scoperta. Questo tipo di vulnerabilità nel kernel rappresenta uno dei vettori di attacco più pericolosi, poiché consente di bypassare completamente i meccanismi di sicurezza del sistema operativo una volta che l'attaccante ha ottenuto un accesso iniziale, anche non privilegiato.
Tra le altre vulnerabilità significative spicca la CVE-2025-62199, una falla di Remote Code Execution in Microsoft Office classificata anch'essa come critica. Il bug è riconducibile a una condizione di use-after-free che permette a un attaccante non autenticato di eseguire codice arbitrario localmente. Questo tipo di vulnerabilità è particolarmente insidiosa negli ambienti aziendali, dove documenti Office vengono frequentemente scambiati via email e possono contenere exploit incorporati.
La netta diminuzione del numero di CVE rispetto a ottobre solleva interrogativi sulla pianificazione di Microsoft nel ciclo di vita delle patch. Gli analisti di Zero Day Initiative ipotizzano che la riduzione sia almeno parzialmente attribuibile all'esclusione di Windows 10 dal supporto, che storicamente rappresentava una porzione significativa delle vulnerabilità corrette mensilmente. Resta da vedere se dicembre confermerà questa tendenza o se assisteremo a un nuovo picco in avvicinamento al record di CVE stabilito nel 2020.