Microsoft 最近发布了 2025 年 1 月补丁星期二累积更新,其中包括针对 Windows 操作系统、Microsoft Office、.NET、Azure、Kerberos 和 Windows Hyper-V 中 159 个缺陷的安全更新。
其中包括八个零日漏洞,其中三个正在被积极利用,五个是众所周知的缺陷。
“在今天发布的补丁中,有 11 个补丁的严重程度被评为“严重”,另外 148 个补丁的严重程度被评为“重要”。这是至少自 2017 年以来单月解决的 CVE 数量最多的一次,是一月份修复的 CVE 数量的两倍多。”趋势科技的零日计划 (ZDI) 计划研究人员写道在分析中。
三个在野外被积极利用的零日漏洞被追踪为CVE-2025-21333,CVE-2025-21334, 和CVE-2025-21335。
这些是 Windows Hyper-V NT 内核集成虚拟化服务提供程序 (VSP) 中的特权提升 (EoP) 漏洞,CVSS 评分为 7.8(重要)。
据微软称,成功利用该漏洞可以允许经过身份验证的用户以系统权限执行代码。
与往常一样,这家雷德蒙德巨头没有提供有关如何利用这些缺陷、涉及的攻击者或攻击规模的信息。
美国网络安全和基础设施安全局 (CISA)额外这些缺陷是其已知的被利用的漏洞(凯维)目录,要求联邦机构在 2025 年 2 月 4 日之前实施修复。
此外,我们再看一下五个公开披露的零日漏洞未被攻击者利用并已在 2025 年 1 月补丁星期二累积更新中修复:
CVE-2025-21186,CVE-2025-21366, 和CVE-2025-21395:这三个漏洞的 CVSS 等级均为 7.8(重要),它们是 Microsoft Access 中的远程代码执行 (RCE) 缺陷,在打开恶意制作的 Access 文档时会触发这些漏洞。
该公司通过阻止访问以下扩展来解决这些漏洞:
- ACC数据库
- ACCDE
- ACCDW
- 帐户
- ACC
- ACCDR
- 累加
微软归功于未打补丁.ai,一个人工智能辅助的漏洞搜寻平台,用于查找所有三个 Microsoft Access 问题。
另外两个公开披露且未利用的零日漏洞是CVE-2025-21275(CVSS: 7.8) Windows 应用程序包安装程序和CVE-2025-21308(CVSS:6.5)在 Windows 主题中,已于 2025 年 1 月补丁星期二修复。
就 CVE-2025-21275 缺陷而言,如果成功利用它,攻击者可能会获得系统权限。另一方面,只需在 Windows 资源管理器中预览恶意主题文件即可利用 CVE-2025-21308 漏洞。
“攻击者必须说服用户将恶意文件加载到易受攻击的系统上,通常通过电子邮件或即时通讯消息中的诱惑,然后说服用户操纵特制文件,但不一定单击或打开恶意文件。”Microsoft 关于 CVE-2025-21308 的通报解释道。
除了上述八个零日漏洞外,该公司还修复了以下严重缺陷:
- CVE-2025-21178 (CVSS 评分:8.8)——Visual Studio 远程代码执行漏洞
- CVE-2025-21294(CVSS 评分:8.1) – Microsoft Digest 身份验证远程代码执行漏洞
- CVE-2025-21295(CVSS 评分:8.1) – SPNEGO 扩展协商(NEGOEX)安全机制远程代码执行漏洞
- CVE-2025-21296(CVSS 评分:7.5)——BranchCache 远程代码执行漏洞
- CVE-2025-21297(CVSS 评分:8.1)——Windows 远程桌面服务远程代码执行漏洞
- CVE-2025-21298(CVSS 评分:9.8) – Windows 对象链接和嵌入 (OLE) 远程代码执行漏洞
- CVE-2025-21307(CVSS 评分:9.8) – Windows 可靠多播传输驱动程序 (RMCAST) 远程代码执行漏洞
- CVE-2025-21309(CVSS 评分:8.1)——Windows 远程桌面服务远程代码执行漏洞
- CVE-2025-21311(CVSS 评分:9.8) – Windows NTLM V1 特权提升漏洞
- CVE-2025-21380(CVSS 评分:8.8)-Azure Marketplace SaaS 资源信息泄露漏洞
- CVE-2025-21385(CVSS 评分:8.8)- Microsoft Purview 信息泄露漏洞
有关159个漏洞的详细信息,您可以点击这里。
建议应用最新的安全更新以确保防范这些漏洞。
