Microsoft 在 2025 年 1 月修補程式星期二修復了 8 個零日漏洞

Microsoft 最近發布了 2025 年 1 月修補程式星期二累積更新，其中包含 Windows 作業系統、Microsoft Office、.NET、Azure、Kerberos 和 Windows Hyper-V 中 159 個缺陷的安全性更新。

其中包括八個零日漏洞，其中三個正在被積極利用，五個是眾所周知的缺陷。

“在今天發布的補丁中，有 11 個補丁的嚴重程度被評為“嚴重”，另外 148 個補丁的嚴重程度被評為“重要”。這是至少自 2017 年以來單月解決的 CVE 數量最多的一次，是一月份修復的 CVE 數量的兩倍多。在分析中。

三個在野外被積極利用的零日漏洞被追蹤為CVE-2025-21333,CVE-2025-21334， 和CVE-2025-21335。

這些是 Windows Hyper-V NT 核心整合虛擬化服務提供者 (VSP) 中的特權提升 (EoP) 漏洞，CVSS 評分為 7.8（重要）。

據微軟稱，成功利用該漏洞可以允許經過身份驗證的用戶以系統權限執行程式碼。

像往常一樣，這家雷德蒙巨頭並沒有提供有關如何利用這些缺陷、涉及的攻擊者或攻擊規模的資訊。

美國網路安全與基礎設施安全局 (CISA)額外這些缺陷是其已知的被利用的漏洞（凱維）目錄，要求聯邦機構在 2025 年 2 月 4 日之前實施修復。

此外，我們再看一下五個公開披露的零日漏洞未被攻擊者利用並已在 2025 年 1 月補丁星期二累積更新中修復：

CVE-2025-21186,CVE-2025-21366， 和CVE-2025-21395：這三個漏洞的 CVSS 等級均為 7.8（重要），它們是 Microsoft Access 中的遠端程式碼執行 (RCE) 缺陷，在開啟惡意製作的 Access 文件時會觸發這些漏洞。

該公司透過阻止訪問以下擴充功能來解決這些漏洞：

• ACC資料庫
• ACCDE
• ACCDW
• 帳戶
• ACC
• ACCDR
• 累加

微軟歸功於未打補丁.ai，一個人工智慧輔助的漏洞搜尋平台，用於尋找所有三個 Microsoft Access 問題。

另外兩個公開揭露且未利用的零日漏洞是CVE-2025-21275(CVSS: 7.8) Windows 應用程式套件安裝程式和CVE-2025-21308（CVSS：6.5）在 Windows 主題中，已於 2025 年 1 月補丁星期二修復。

就 CVE-2025-21275 缺陷而言，如果成功利用它，攻擊者可能會獲得系統權限。另一方面，只需在 Windows 資源管理器中預覽惡意主題檔案即可利用 CVE-2025-21308 漏洞。

「攻擊者必須說服用戶將惡意文件加載到易受攻擊的系統上，通常透過電子郵件或即時通訊訊息中的誘惑，然後說服用戶操縱特製文件，但不一定單擊或打開惡意文件。」Microsoft 關於CVE-2025-21308 的通報解釋。

除了上述八個零日漏洞外，該公司還修復了以下嚴重缺陷：

• CVE-2025-21178 （CVSS 評分：8.8）－Visual Studio 遠端程式碼執行漏洞
• CVE-2025-21294（CVSS 評分：8.1） – Microsoft Digest 驗證遠端程式碼執行漏洞
• CVE-2025-21295（CVSS 評分：8.1） – SPNEGO 擴充協商（NEGOEX）安全機制遠端程式碼執行漏洞
• CVE-2025-21296（CVSS 評分：7.5）－BranchCache 遠端程式碼執行漏洞
• CVE-2025-21297（CVSS 評分：8.1）－Windows 遠端桌面服務遠端程式碼執行漏洞
• CVE-2025-21298（CVSS 評分：9.8） – Windows 物件連結和嵌入 (OLE) 遠端程式碼執行漏洞
• CVE-2025-21307（CVSS 評分：9.8） – Windows 可靠多播傳輸驅動程式 (RMCAST) 遠端程式碼執行漏洞
• CVE-2025-21309（CVSS 評分：8.1）－Windows 遠端桌面服務遠端程式碼執行漏洞
• CVE-2025-21311（CVSS 評分：9.8） – Windows NTLM V1 特權提升漏洞
• CVE-2025-21380（CVSS 評分：8.8）-Azure Marketplace SaaS 資源資訊外洩漏洞
• CVE-2025-21385（CVSS 評分：8.8）- Microsoft Purview 資訊外洩漏洞

有關159個漏洞的詳細信息，您可以點擊這裡。

建議應用最新的安全性更新以確保防範這些漏洞。