Đáng chú ý nhất là CVE-2025-62221, lỗ hổng nghiêm trọng với điểm CVSS 7,8, xuất phát từ lỗi use-after-free trong trình điều khiển Windows Cloud Files Mini Filter. Microsoft xác nhận lỗ hổng này đã bị khai thác để leo thang đặc quyền lên cấp hệ thống, nhưng chưa công bố chi tiết về các cuộc tấn công.
Cùng nhóm Cloud Files Mini Filter, CVE-2025-62454 cũng được đánh giá 7,8 điểm CVSS và có khả năng bị khai thác theo cách tương tự. Ngoài hai lỗ hổng nói trên, bản vá Patch Tuesday tháng 12.2025 còn xử lý hai lỗ hổng thực thi mã từ xa trong Copilot cho JetBrains (CVE-2025-64671) và PowerShell (CVE-2025-54100). Dù đã được công bố trước đó, Microsoft cho biết cả hai ít có khả năng bị khai thác rộng rãi.
Bộ Office cũng nhận 13 bản sửa lỗi, gồm hai lỗ hổng nghiêm trọng CVE-2025-62554 và CVE-2025-62557 với điểm CVSS 8,4. Hai lỗi này liên quan đến nhầm lẫn kiểu dữ liệu và thao tác bộ nhớ sai, tạo điều kiện cho việc thực thi mã từ xa. Theo Microsoft, kẻ tấn công có thể lợi dụng kỹ thuật xã hội hoặc thậm chí gửi email độc hại mà không cần người dùng mở liên kết.
Ngoài Windows và Office, nhiều sản phẩm khác như Visual Studio, Azure Monitor Agent, Hyper-V, Edge cho iOS và Application Information Service cũng được cập nhật bảo mật. Tổng cộng, Microsoft đã phát hành khoảng 1.200 bản vá trong năm 2025, đánh dấu năm thứ hai liên tiếp số lượng lỗ hổng được xử lý vượt mốc 1.000.
