微软在12月补丁星期二活动中,面向Windows 10用户发布了扩展安全更新KB5071546。重点信息如下:本次补丁共计修复了57个安全漏洞,其中包含3个零日漏洞威胁,需要用户高度警惕。
需要指出的是,微软已正式停止对Windows 10系统的技术支持,因此本次更新不包含任何新功能,主要目标是修复此前补丁引入的已知错误以及各类高危安全漏洞。
对于运行Windows 10企业版LTSC或已加入扩展安全更新计划的用户,系统将自动检测并提示重启。安装完成后,Windows 10系统版本号将更新至Build 19045.6691,而Windows 10企业版LTSC 2021版本号将变为Build 19044.6691。

如需手动获取该补丁,可依次进入“设置” → “Windows 更新” → “检查更新”。微软目前表示尚未发现本次更新存在已知问题,这一点相对令人安心。
关键漏洞修复:PowerShell远程代码执行风险
本次更新中最值得关注的漏洞是编号为CVE-2025-54100的PowerShell零日漏洞。该漏洞属于远程代码执行类型,攻击者可通过网页中嵌入的恶意脚本,在用户使用Invoke-WebRequest命令检索网页时触发执行。
由于PowerShell 5.1是Windows 10的默认版本,该漏洞对习惯通过命令行处理Web内容的用户构成了显著威胁。为彻底消除此风险,微软调整了Invoke-WebRequest命令的执行逻辑。现在,用户运行涉及该命令的脚本后,PowerShell 5.1会弹出安全警告,明确提示“网页中的脚本代码可能会在解析时运行”,并要求用户确认是否继续执行。

微软官方建议,在处理不可信网页时,最好使用-UseBasicParsing命令行参数,从而阻止系统解析并执行嵌入的脚本。这一操作能有效阻断攻击路径,值得用户养成使用习惯。
