Whatsapp met ons
Support Neem contact op
Microsoft Patch Tuesday:drukke decembermaand
microsoft Nieuws
11 december 2025

Microsoft Patch Tuesday:drukke decembermaand

Met fixes voor 56 CVE’s (Common Vulnerabilities and Exposures)

December is altijd een drukke maand waarin we veel te vieren én nog veel af te werken hebben. Sinterklaas is inmiddels weer het land uit, dus dat kun je afvinken van de to-do list. Blijft over: boom kopen, ballen ophangen, uitnodigen versturen voor het kerstdiner, oliebollen bakken én patches installeren.

Ben je net lekker in de feeststemming, beginnen wij over patchen, maar als je de patches installeert dan kan je ook echt onbezorgd van de feestdagen genieten.

Deze maand kwam Microsoft met 56 veiligheidsupdates, waarvan het merendeel bestaat uit Elevation of Privilege (EoP) vulnerabilities (50 procent) gevolgd door Remote Code Execution (RCE) vulnerabilities (bijna 40 procent).

Onze collega Wim Milder heeft onderstaand de belangrijkste decemberfixes voor je toegelicht (en hij kan je op speciaal verzoek ook nog voorzien van een goede wijntip voor ’t kerstdiner).

 

Wat zijn de belangrijkste patches van Patch Tuesday december 2025?

CVE-2025-54100 betreft een RCE-vulnerability (met een CVSSv3-score van 7,8) in Windows PowerShell die ervoor kon zorgen dat scripts die in een webpagina zijn ingebed, werden uitgevoerd wanneer de pagina werd opgehaald met Invoke-WebRequest. Microsoft heeft een wijziging doorgevoerd die een waarschuwing toont wanneer PowerShell Invoke-WebRequest gebruikt, waarbij de gebruiker wordt gevraagd om -UseBasicParsing toe te voegen om code-uitvoering door een aanvaller te voorkomen.

CVE-2025-62458 is een EoP-kwetsbaarheid die Microsofts Win32k treft. Deze flaw kreeg een CVSSv3-score van 7,8 en is geclassificeerd als ‘Exploitation More Likely’. Succesvolle exploitatie zou een aanvaller in staat stellen SYSTEM-rechten te verkrijgen op een getroffen host. Het is al de negende EoP-kwetsbaarheid in Win32k die Microsoft in 2025 heeft verholpen, naast 14 eerdere in 2024.

Een tweetal RCE-problemen met Microsoft Office zijn aangepakt met CVE-2025-62554 en CVE-2025-62557. Aanvallers konden deze flaws misbruiken via social engineering door het kwaadaardige Microsoft Office-document naar het beoogde doelwit te sturen. Succesvolle exploitatie zou de aanvallers rechten voor code-uitvoering verschaffen. Beide zijn  bestempeld als kritisch en hebben een CVSSv3-score van 8,4 dus aandacht is vereist.

Een geconstateerde RCE-kwetsbaarheid in de GitHub Copilot-plug-in voor JetBrains Integrated Development Environments (IDE’s) is opgelost met CVE-2025-64671.

Een aanvaller kon een kwaadaardige Cross Prompt Inject uitvoeren via een MCP-server of via niet-vertrouwde bestanden. Succesvolle exploitatie stelde een aanvaller in staat om ongeautoriseerde opdrachten toe te voegen aan bestaande, toegestane opdrachten, dankzij de ‘auto-approve’-instelling in de terminal. Net als de voorgaande CVE’s kent ook deze een hoge CVSSv3-score van 8,4.

Klaar voor de kerst?

Microsoft heeft weer een mooi kerstpakket samengesteld. Aan jou om alle patches uit te pakken. Wil je de volledige lijst met alle decemberpatches ontvangen, of wil je dat wij als Axoft voortaan je omgeving monitoren en up-to-date houden? Stuur een mail aan sales@axoft.nl

Meer in microsoft

KPN gaat voor groene energie op elk uur van elke dag!
kpn 8 december 2025

KPN gaat voor groene energie op elk uur van elke dag!
Balanceren tussen goede bescherming en kosten van cybersecurity-maatregelen
kpn 8 december 2025

Balanceren tussen goede bescherming en kosten van cybersecurity-maatregelen
Bellen en internetten op zee zoals thuis? Roam Like Home
kpn 24 november 2025

Bellen en internetten op zee zoals thuis? Roam Like Home
LiSt_2022_06_30Capture0109-2-2

Vertrouwen op een zorgeloze digitale werkomgeving
Zo eenvoudig. Zo Axoft.

Neem contact op met Wim voor advies op maat.

Bel Wim Mail Wim