Microsoft 在 2025 年 1 月補丁星期二修復了 8 個零日漏洞

Microsoft 最近發布了 2025 年 1 月補丁星期二累積更新，其中包括針對 Windows 操作系統、Microsoft Office、.NET、Azure、Kerberos 和 Windows Hyper-V 中 159 個缺陷的安全更新。

其中包括八個零日漏洞，其中三個正在被積極利用，五個是眾所周知的缺陷。

“在今天發布的補丁中，有 11 個被評為“嚴重”，另外 148 個被評為“重要”。這是至少自 2017 年以來單月解決的 CVE 數量最多的一次，是 1 月份修復的 CVE 數量的兩倍多，”趨勢科技的零日計劃 (ZDI) 計劃研究人員寫道。在分析中。

三個在野外被積極利用的零日漏洞被追踪為CVE-2025-21333,CVE-2025-21334， 和CVE-2025-21335。

這些是 Windows Hyper-V NT 內核集成虛擬化服務提供程序 (VSP) 中的特權提升 (EoP) 漏洞，CVSS 評分為 7.8（重要）。

據微軟稱，成功利用該漏洞可以允許經過身份驗證的用戶以系統權限執行代碼。

與往常一樣，這家雷德蒙德巨頭沒有提供有關如何利用這些缺陷、涉及的攻擊者或攻擊規模的信息。

美國網絡安全和基礎設施安全局 (CISA)額外這些缺陷是其已知的被利用的漏洞（凱夫）目錄，要求聯邦機構在 2025 年 2 月 4 日之前實施修復。

此外，我們再看一下五個公開披露的零日漏洞未被攻擊者利用並已在 2025 年 1 月補丁星期二累積更新中修復：

CVE-2025-21186,CVE-2025-21366， 和CVE-2025-21395：這三個漏洞的 CVSS 等級均為 7.8（重要），它們是 Microsoft Access 中的遠程代碼執行 (RCE) 缺陷，在打開惡意製作的 Access 文檔時會觸發這些漏洞。

該公司通過阻止訪問以下擴展來解決這些漏洞：

• ACC數據庫
• ACCDE
• 阿科克
• 帳戶
• ACC
• ACCDR
• 累加

微軟歸功於未打補丁.ai，一個人工智能輔助的漏洞搜尋平台，用於查找所有三個 Microsoft Access 問題。

另外兩個公開披露且未利用的零日漏洞是CVE-2025-21275(CVSS: 7.8) Windows 應用程序包安裝程序和CVE-2025-21308（CVSS：6.5）在 Windows 主題中，已於 2025 年 1 月補丁星期二修復。

就 CVE-2025-21275 缺陷而言，如果成功利用它，攻擊者可能會獲得系統權限。另一方面，只需在 Windows 資源管理器中預覽惡意主題文件即可利用 CVE-2025-21308 漏洞。

“攻擊者必須說服用戶將惡意文件加載到易受攻擊的系統上，通常是通過電子郵件或即時通訊消息中的誘惑，然後說服用戶操縱特製文件，但不一定單擊或打開惡意文件。”Microsoft 關於 CVE-2025-21308 的通報解釋道。

除了上述八個零日漏洞外，該公司還修復了以下嚴重缺陷：

• CVE-2025-21178 （CVSS 評分：8.8）——Visual Studio 遠程代碼執行漏洞
• CVE-2025-21294（CVSS 評分：8.1） – Microsoft Digest 身份驗證遠程代碼執行漏洞
• CVE-2025-21295（CVSS 評分：8.1） – SPNEGO 擴展協商（NEGOEX）安全機制遠程代碼執行漏洞
• CVE-2025-21296（CVSS 評分：7.5）——BranchCache 遠程代碼執行漏洞
• CVE-2025-21297（CVSS 評分：8.1）——Windows 遠程桌面服務遠程代碼執行漏洞
• CVE-2025-21298（CVSS 評分：9.8） – Windows 對象鏈接和嵌入 (OLE) 遠程代碼執行漏洞
• CVE-2025-21307（CVSS 評分：9.8） – Windows 可靠多播傳輸驅動程序 (RMCAST) 遠程代碼執行漏洞
• CVE-2025-21309（CVSS 評分：8.1）——Windows 遠程桌面服務遠程代碼執行漏洞
• CVE-2025-21311（CVSS 評分：9.8） – Windows NTLM V1 特權提升漏洞
• CVE-2025-21380（CVSS 評分：8.8）-Azure Marketplace SaaS 資源信息洩露漏洞
• CVE-2025-21385（CVSS 評分：8.8）- Microsoft Purview 信息洩露漏洞

有關159個漏洞的詳細信息，您可以點擊這裡。

建議應用最新的安全更新以確保防範這些漏洞。