昨日是微软的补丁星期二(Patch Tuesday),这意味着该公司旗下众多产品与服务迎来了大量安全更新。此次共计修复了107个新发现的安全漏洞。
微软将Windows和Office中的多个漏洞归类为“高危”,但同时强调目前尚未发现这些漏洞在野被利用的情况。以下为已修复安全漏洞的概要及其潜在影响,下一次补丁星期二将于2025年9月9日进行。
Windows安全更新
本次公布的漏洞中有67个涉及微软仍在提供安全支持的各个Windows版本,包括Windows 10、Windows 11和Windows Server。仍在使用Windows 7和Windows 8.1的用户由于长期未获得安全更新,系统将持续暴露于风险中。若硬件条件允许,建议升级至Windows 11 24H2以继续获取安全保护。
高危Windows漏洞
微软标记了两个关键远程代码执行(RCE)漏洞:图形应用程序图形设备接口API中的CVE-2025-53766,以及Windows图形组件中的CVE-2025-50165。前者仅需访问特制网站即可在无用户交互情况下注入并执行任意代码,后者通过构造嵌入网页的特定图像即可触发攻击。
Hyper-V虚拟化平台中存在三个高危漏洞:CVE-2025-48807允许从客户机系统在宿主机上执行代码;CVE-2025-53781会导致敏感信息泄露;CVE-2025-49707可使虚拟机在与外部系统通信时伪造身份。此外,路由和远程访问服务(RRAS)修复的12个漏洞中,半数为RCE漏洞,半数为数据泄露漏洞,均被评估为高风险。
本次唯一提前公开的漏洞是Windows Server 2025的Kerberos协议中的CVE-2025-53779,攻击者在特定条件下可获取域管理员权限,微软将其风险等级定为中危。
Office安全更新
微软为Office系列产品修复了18个漏洞,其中包含16个RCE漏洞。由于预览窗口被认定为攻击载体,其中4个RCE漏洞被列为高危——这意味着即使用户未点击或打开文件,仅通过预览显示的特制文件即可触发攻击(其中2个漏洞影响Word)。其余Office漏洞需要用户主动打开恶意文件才会生效,均被归为高风险。
Edge浏览器安全更新
基于Chromium 139.0.7258.67的Edge 139.0.3405.86桌面版已于8月7日发布,修复了底层Chromium的多个漏洞。安卓版Edge 139.0.3405.86则额外修补了两个浏览器特有的安全缺陷。
