Microsoft 在 2025 年 1 月补丁星期二修复了 8 个零日漏洞

Microsoft 最近发布了 2025 年 1 月补丁星期二累积更新，其中包括针对 Windows 操作系统、Microsoft Office、.NET、Azure、Kerberos 和 Windows Hyper-V 中 159 个缺陷的安全更新。

其中包括八个零日漏洞，其中三个正在被积极利用，五个是众所周知的缺陷。

“在今天发布的补丁中，有 11 个被评为“严重”，另外 148 个被评为“重要”。这是至少自 2017 年以来单月解决的 CVE 数量最多的一次，是 1 月份修复的 CVE 数量的两倍多，”趋势科技的零日计划 (ZDI) 计划研究人员写道。在分析中。

三个在野外被积极利用的零日漏洞被追踪为CVE-2025-21333,CVE-2025-21334， 和CVE-2025-21335。

这些是 Windows Hyper-V NT 内核集成虚拟化服务提供程序 (VSP) 中的特权提升 (EoP) 漏洞，CVSS 评分为 7.8（重要）。

据微软称，成功利用该漏洞可以允许经过身份验证的用户以系统权限执行代码。

与往常一样，这家雷德蒙德巨头没有提供有关如何利用这些缺陷、涉及的攻击者或攻击规模的信息。

美国网络安全和基础设施安全局 (CISA)额外这些缺陷是其已知的被利用的漏洞（凯夫）目录，要求联邦机构在 2025 年 2 月 4 日之前实施修复。

此外，我们再看一下五个公开披露的零日漏洞未被攻击者利用并已在 2025 年 1 月补丁星期二累积更新中修复：

CVE-2025-21186,CVE-2025-21366， 和CVE-2025-21395：这三个漏洞的 CVSS 等级均为 7.8（重要），它们是 Microsoft Access 中的远程代码执行 (RCE) 缺陷，在打开恶意制作的 Access 文档时会触发这些漏洞。

该公司通过阻止访问以下扩展来解决这些漏洞：

• ACC数据库
• ACCDE
• 阿科克
• 帐户
• ACC
• ACCDR
• 累加

微软归功于未打补丁.ai，一个人工智能辅助的漏洞搜寻平台，用于查找所有三个 Microsoft Access 问题。

另外两个公开披露且未利用的零日漏洞是CVE-2025-21275(CVSS: 7.8) Windows 应用程序包安装程序和CVE-2025-21308（CVSS：6.5）在 Windows 主题中，已于 2025 年 1 月补丁星期二修复。

就 CVE-2025-21275 缺陷而言，如果成功利用它，攻击者可能会获得系统权限。另一方面，只需在 Windows 资源管理器中预览恶意主题文件即可利用 CVE-2025-21308 漏洞。

“攻击者必须说服用户将恶意文件加载到易受攻击的系统上，通常是通过电子邮件或即时通讯消息中的诱惑，然后说服用户操纵特制文件，但不一定单击或打开恶意文件。”Microsoft 关于 CVE-2025-21308 的通报解释道。

除了上述八个零日漏洞外，该公司还修复了以下严重缺陷：

• CVE-2025-21178 （CVSS 评分：8.8）——Visual Studio 远程代码执行漏洞
• CVE-2025-21294（CVSS 评分：8.1） – Microsoft Digest 身份验证远程代码执行漏洞
• CVE-2025-21295（CVSS 评分：8.1） – SPNEGO 扩展协商（NEGOEX）安全机制远程代码执行漏洞
• CVE-2025-21296（CVSS 评分：7.5）——BranchCache 远程代码执行漏洞
• CVE-2025-21297（CVSS 评分：8.1）——Windows 远程桌面服务远程代码执行漏洞
• CVE-2025-21298（CVSS 评分：9.8） – Windows 对象链接和嵌入 (OLE) 远程代码执行漏洞
• CVE-2025-21307（CVSS 评分：9.8） – Windows 可靠多播传输驱动程序 (RMCAST) 远程代码执行漏洞
• CVE-2025-21309（CVSS 评分：8.1）——Windows 远程桌面服务远程代码执行漏洞
• CVE-2025-21311（CVSS 评分：9.8） – Windows NTLM V1 特权提升漏洞
• CVE-2025-21380（CVSS 评分：8.8）-Azure Marketplace SaaS 资源信息泄露漏洞
• CVE-2025-21385（CVSS 评分：8.8）- Microsoft Purview 信息泄露漏洞

有关159个漏洞的详细信息，您可以点击这里。

建议应用最新的安全更新以确保防范这些漏洞。