Ho ho ho! Prosincové Patch Tuesday přináší tři nulté dny

Aktualizace prosincového Patch Tuesday od Microsoftu řeší tři nulté dny (CVE-2025-64671, CVE-2025-54100 a CVE-2025-62221), ale obsahuje překvapivě málo celkových oprav (pouze 57). Kromě neobvykle nízkého počtu aktualizací společnost Microsoft tento měsíc nezveřejnila žádné důležité aktualizace pro platformu Windows. Vzhledem k nultým dnům však doporučujeme plán vydání „Patch Now“ pro Windows a Microsoft Office. Tento měsíc nejsou k dispozici žádné aktualizace pro vývojářské nástroje a menší oprava pro Microsoft Exchange Server.

Abychom vám pomohli s orientací v těchto změnách, poskytl tým z Readiness užitečnou infografiku s podrobnostmi o rizicích nasazení aktualizací na jednotlivé platformy. (Informace o dalších nedávných vydáních Patch Tuesday jsou k dispozici zde.)

Známé problémy

Microsoft zveřejnil delší než obvykle seznam známých problémů za prosinec. Zaměřujeme-li se na řešitelné problémy, které ovlivňují pozdější verze (mimo ESU), věříme, že následující si zaslouží pozornost podnikových inženýrů:

• Po instalaci aktualizací KB5070892 nebo novějších nezobrazuje služba Windows Server Update Services (WSUS) v hlášení chyb podrobnosti o chybách synchronizace. Tato funkce je dočasně odebrána, aby se vyřešila chyba zabezpečení týkající se vzdáleného spuštění kódu, CVE-2025-59287.

• Velmi malý počet uživatelů si může všimnout, že ikona hesla pro přihlašovací obrazovku systému Windows není viditelná. To je problém od aktualizace ze srpna 2025. Společnost Microsoft zveřejnila zprávu o vrácení známého problému (KIR), aby oslovila uživatele Pro a Home. Podniková nasazení by měla k obnovení obrázku ikony používat aktualizované zásady skupiny.

Společnost Microsoft vydala mimopásmovou aktualizaci (KB5070881) pro Windows Server 2025, která byla krátce nabídnuta všem počítačům se systémem Windows Server 2025 bez ohledu na registraci Hotpatch.

Počítače, které nainstalovaly KB5070881, dočasně přestanou přijímat aktualizace Hotpatch a místo toho budou dostávat aktualizace zabezpečení, které vyžadují restart. Očekává se, že tento problém bude vyřešen v příštím základním vydání v lednu 2026.

Velké revize a zmírnění

Letos v prosinci došlo k několika aktualizacím a revizím předchozích oprav společnosti Microsoft. Většina z nich se týká aktualizací prohlížeče Chromium (viz část Prohlížeč níže). Tyto dvě revize však mohou vyžadovat další čtení a nápravná opatření:

• CVE-2024-30098: Chyba zabezpečení obcházení funkce zabezpečení kryptografických služeb systému Windows. Ačkoli je tato revize aktualizace uváděna jako aktualizace dokumentace od společnosti Microsoft, předchozí vydání nesprávně identifikovalo poskytovatele spravovaného klíče. To mohlo vést k selhání autentizace pomocí čipové karty. Pokud jste se s tímto druhem problému setkali od října, společnost Microsoft zveřejnila znalostní poznámku (KB5073121) o tom, jak tyto druhy problémů zjišťovat a řešit.

• CVE-2025-60710: Hostitelský proces pro úlohy Windows Zvýšení zranitelnosti oprávnění. Tato oprava se týká všech podporovaných verzí systému Windows. Před aktualizací společnost Microsoft doporučuje vypnout funkci Recall. Tuto funkci povolte až poté, co svůj systém opravíte touto nejnovější aktualizací.

Aktualizace životního cyklu a vynucení systému Windows

Platnost certifikátů Microsoft Secure Boot používaných většinou zařízení se systémem Windows vyprší v červnu 2026. Pokud nebudou včas aktualizována, může to ovlivnit schopnost určitých osobních a firemních zařízení spouštět se bezpečně. Je spousta času – byli jste varováni.

Každý měsíc tým společnosti Readiness analyzuje nejnovější aktualizace Patch Tuesday od společnosti Microsoft a poskytuje podrobné a použitelné pokyny k testování. Tyto pokyny jsou založeny na posouzení rozsáhlého portfolia aplikací a komplexní analýze záplat společnosti Microsoft a jejich potenciálního dopadu na platformy Windows a nasazení aplikací.

Pro tento cyklus vydání z prosince 2025 od společnosti Microsoft jsme seskupili kritické aktualizace a požadované testovací úsilí do různých funkčních oblastí.

Cloudové soubory a poskytovatelé synchronizace

Organizace využívající OneDrive, synchronizaci SharePointu nebo poskytovatelé cloudového úložiště třetích stran by měly ověřit připojení synchronizačního kořene a pracovní postupy hydratace souborů. Testování by mělo zahrnovat scénáře připojení a odpojení synchronizačního kořene, včetně hydratace/dehydratace, restartování klienta, upgradu klienta, neočekávaného selhání klienta, toků odpojení/znovu propojení účtů a scénářů pro více uživatelů.

Windows Sandbox a virtualizace

Komponenty virtualizace jádra a úložiště obdržely aktualizace ovlivňující funkčnost Windows Sandbox. Organizace používající Sandbox pro testování aplikací nebo izolované procházení by si měly nainstalovat a povolit Windows Sandbox, nakonfigurovat mapování složek prostřednictvím konfiguračních souborů a ověřit, zda jsou namapované složky přístupné, se základními operacemi se soubory (vytváření, úprava, mazání) fungující správně.

Uživatelské dlaždice nabídky Start

Uživatelské rozhraní uživatelských dlaždic nabídky Start obdrželo aktualizace tento měsíc. Testování by mělo ověřit vykreslování uživatelského rozhraní (správné zobrazení, zarovnání, obrázky profilu), funkčnost (akce kliknutí, stavy najetí myší, navigace pomocí klávesnice), dynamické aktualizace (změny profilu se projeví okamžitě), zpracování chyb (chybějící nebo poškozená data profilu) a výkon (žádné zpoždění nebo pády během přepínání uživatelů).

Vydání z prosince 2025 je zaměřeno na stabilitu a neobsahuje žádné vysoce rizikové komponenty. Testovací úsilí by se mělo soustředit na pracovní postupy synchronizace souborů v cloudu pro uživatele OneDrive/SharePoint, mapování složek Windows Sandbox pro virtualizační prostředí a uživatelské dlaždice nabídky Start pro organizace s pracovními stanicemi pro více uživatelů. Toto odlehčené vydání poskytuje příležitost dokončit opravy dříve, než zamrznou podnikové změny na konci roku.

Aktualizace podle produktové řady

Každý měsíc rozdělujeme aktualizační cyklus do produktových rodin (definovaných společností Microsoft) s následujícími základními skupinami:

• Prohlížeče (Microsoft Edge)
• Microsoft Windows (počítač i server)
• Microsoft Office
• Microsoft Exchange a SQL Server
• Microsoft Developer Tools (Visual Studio a .NET)
• Adobe (pokud se dostanete až sem)

Prohlížeče

Společnost Microsoft vydala jedinou aktualizaci pro Microsoft Edge (CVE-2025-62223) a dalších 13 aktualizací založených na prohlížeči Chromium s tímto prosincovým vydáním. Jednou ze „zajímavých“ věcí tohoto měsíce je, že Microsoft vydal opravu pro Microsoft Edge na platformě Apple Mac. Možná budeme muset začít zařazovat Mac do našeho testovacího režimu, pokud to Microsoft udrží. Přidejte tyto změny v prohlížeči s nízkým profilem do svého standardního kalendáře vydání.

Microsoft Windows

Tuto sekci bychom měli začít důležitým oznámením: Letos v prosinci nejsou pro Windows k dispozici žádné záplaty s hodnocením kritických hodnot. To je pro Microsoft neuvěřitelný úspěch.

Následující produktové oblasti byly aktualizovány o 38 oprav, které byly pro tento cyklus oprav z prosince 2025 hodnoceny jako důležité:

• Minifiltr Windows Cloud Files, VSP, Brokering a Windows Resilient File System (ReFS)
• Grafické jádro Win32k, DWM a DirectX
• Společný systém souborů protokolu Windows
• Správce připojení vzdáleného přístupu systému Windows
• Služba Windows Routing and Remote Access Service (RRAS)
• Instalační služba Windows Installer a PowerShell
• Microsoft Hyper-V
• Kodeky Windows Shell a Camera

Bohužel máme tři nulté dny od nahlášeného zneužití a zveřejnění (CVE-2025-64671, CVE-2025-54100 a CVE-2025-62221), které ovlivňují GitHub, PowerShell a miniovladač Windows. Přidejte tyto aktualizace do svého plánu vydání „Patch Now“ systému Windows (ano, i když nejsou společností Microsoft hodnoceny jako kritické).

Microsoft Office

Testování tohoto měsíce by se mělo zaměřit na Microsoft Office, přičemž Microsoft uvolní čtyři kriticky hodnocené aktualizace a dalších 12 oprav pro sadu Microsoft Office pro produktivitu. Důležité aktualizace z tohoto měsíce ovlivňují aplikace Microsoft Word, Excel a SharePoint s chybami zabezpečení vzdáleného spuštění kódu. Přidejte tyto aktualizace sady Microsoft Office do svého plánu „Patch Now“.

Microsoft Exchange a SQL Server

Společnost Microsoft vydala tento měsíc dvě aktualizace (CVE-2025-64667 a CVE-2025-64666) pro Exchange Server, obě hodnocené společností Microsoft jako důležité a vyžadující restart serveru.

Přidejte tyto aktualizace do standardního plánu aktualizací serveru.

Vývojářské nástroje

Společnost Microsoft tento měsíc nezveřejnila žádné aktualizace pro platformy .NET nebo Visual Studio. Užijte si oddech.

Adobe (a aktualizace třetích stran)

Je to zpět! Adobe Reader se tento měsíc vrátil do formy (APSB25-119) s řadou důležitých aktualizací zvoleného generátoru PDF. Tento měsíc jsme sledovali nedávné rychlé aktualizace aplikace Reader a doufali jsme, že před běžně přijatým uzamčením řízení změn v podniku příští pátek už žádné další mít nebudeme.

Tým Readiness doufá, že příští týden nebude příliš uspěchaný se změnami na poslední chvíli a že si všichni během prázdnin dostanou zasloužený odpočinek.