
2025年12月10日,技术消息显示,微软在本月的例行安全更新中,为Windows 10系统发布了编号为KB5071546的补丁。此次更新共计修复了57个安全漏洞,其中包含了3个已被利用的“零日漏洞”。鉴于微软已正式结束对Windows 10的主流支持,本次更新不包含任何功能改进,其主要目的是修复此前版本中存在的一系列安全缺陷及由补丁引发的系统异常。
对于仍在使用Windows 10企业版LTSC,或已订阅扩展安全更新(ESU)服务的用户,系统将在检测到该补丁后自动下载,并提示用户重启设备以完成安装。更新完成后,Windows 10系统的内部版本号将升级至Build 19045.6691,而Windows 10企业版LTSC 2024则会对应更新至Build 19044.6691。
用户同样可以通过手动方式获取此更新:只需进入系统“设置”菜单,选择“Windows 更新”选项,点击“检查更新”即可触发下载与安装流程。截至目前,尚未接到有关此次更新存在任何已知兼容性或运行问题的报告。
本次更新中最关键的一项修复,针对的是一个编号为CVE-2025-54100的PowerShell零日漏洞,该漏洞属于远程代码执行类型的高危威胁。攻击者可能通过在网页中嵌入恶意脚本,当用户在PowerShell环境中使用 `Invoke-WebRequest` 命令访问受控网页时,便可能触发未经授权的代码执行。鉴于PowerShell 5.1是Windows 10系统的默认版本,此漏洞对于频繁使用命令行处理网络内容的用户构成了较大风险。
为从根本上应对此类威胁,微软调整了`Invoke-WebRequest`命令的运行机制。在更新后的系统中,当用户执行相关命令时,PowerShell 5.1将主动弹出安全提示,明确告知用户“网页中的脚本代码可能在解析过程中被执行”,并要求用户确认是否继续操作。
同时,微软建议用户在处理来源不明或不可信的网页内容时,应主动添加 `-UseBasicParsing` 参数来调用命令,以禁用脚本解析功能,从而有效规避潜在的攻击风险。
