11月21日，科技媒体techlusive报道了一则来自印度计算机应急响应小组（CERT-In）的高危安全警告——微软Windows操作系统内核被曝光存在一个严重安全漏洞，影响范围覆盖Windows 10、Windows 11以及多个版本的Windows Server。重点关注：该漏洞编号为CVE-2025-60724，问题根源在于微软图形组件（GDI+），几乎波及所有主流Windows版本，属于高危提权漏洞。

攻击者是如何利用这个漏洞的？手法简单但极具威胁——他们只需诱导用户下载并打开一个精心构造的恶意文档。该文档在处理过程中会触发缓冲区溢出，进而让攻击者远程执行恶意代码。换句话说，用户仅仅双击一个看似正常的文件，系统就有可能被远程控制，最终导致Windows远程代码执行。

更令人担忧的是后续攻击行为。攻击者一旦通过这个缺口获得系统低级别访问权限，就能实现“本地权限提升”——从普通用户一路升级到拥有最高控制权的系统管理员。权限提升完成后会发生什么？后果相当严重：敏感数据可被任意篡改或窃取，勒索软件等恶意程序可悄无声息地安装，关键服务可能被中断，甚至整台设备都会被对方完全接管，造成Windows本地提权漏洞全面利用。

以下列出受影响的系统版本（覆盖面极广，必须引起重视）：

• Windows Server 2016 & 2025
• Windows Server 2012, 2012 R2, 2016, 2019, 2022 & 2025
• Windows 10 Version 1607 for x64-based & 32-bit Systems
• Windows 10 Version 22H2 for 32-bit & ARM64-based Systems
• Windows 11 Version 23H2 for x64-based & ARM64-based Systems
• Windows 11 Version 24H2 for x64-based & ARM64-based Systems
• Windows 11 Version 25H2 for x64-based & ARM64-based Systems
• Windows Server 2012, 2012 R2, 2016, 2019, 2022, 23H2 Edition & 2025 (Server Core installation)
• Windows Server 2008 R2 for x64-based Systems SP1 (Server Core installation)
• Windows Server 2008 R2 for x64-based Systems SP1 & SP2
• Windows Server 2008 for x64-based Systems SP2 (Server Core installation)
• Windows Server 2008 for 32-bit Systems SP2 (Server Core installation)
• Windows Server 2008 for 32-bit Systems SP2
• Windows 10 Version 22H2 for x64-based Systems
• Windows 10 Version 21H2 for x64-based, ARM64-based & 32-bit Systems
• Windows 10 Version 1809 for x64-based & 32-bit Systems
• Microsoft Office LTSC for Mac 2021 & 2024
• Microsoft Office for Android

好消息是，微软已于2025年11月的累积更新中成功修复此漏洞。对于用户而言，唯一的建议就是：尽快更新操作系统，及时封堵这一潜在后门，确保系统安全。