昨天是九月的周二补丁日,微软发布了安全更新,修复了80个新漏洞。微软将Windows和Office中的八个漏洞归类为严重级别,但目前尚未发现这些漏洞在野被利用。遗憾的是,微软在安全更新指南中提供的漏洞详细信息较为简略,需要用户自行搜索。
下一个周二补丁日定于2025年10月14日。这也是备受期待的Windows 10支持终止日期。不要等到为时已晚!请提前了解后续可选方案。
严重的Windows漏洞
大量漏洞(本次为58个)遍布微软仍在提供安全更新的各个Windows版本:Windows 10、Windows 11和Windows Server。
Windows 7和8.1已不再获得安全更新,因此它们仍像以往一样脆弱。如果您仍在使用这些版本且系统条件允许,应尽快升级至Windows 11以继续接收安全更新。
微软将Windows中的7个安全漏洞归类为严重级别,其中包括四个远程代码执行(RCE)漏洞。这些严重漏洞中有五个存在于图形组件中。仅需打开受感染的图像文件(例如从网站加载)就可能执行恶意代码。CVE-2025-53799数据泄露漏洞较为突出,因为其利用仅能暴露工作内存的一小部分。目前尚不清楚为何将此漏洞归类为严重。
微软还修复了Hyper-V中的5个安全漏洞,其中一个(CVE-2025-55224)被归类为严重。其余为权限提升(EOP)漏洞。NT LAN Manager中的CVE-2025-54918也是一个被归类为严重的EOP漏洞。拥有用户权限的攻击者可以通过网络获取系统授权,且利用方式足够简单,可能被用于定向攻击。
其他Windows漏洞
漏洞评分最高的是高性能计算(HPC)包中的CVE-2025-55232。攻击者无需用户账户即可远程注入代码并自行执行。这使得该漏洞可能在HPC网络内形成蠕虫式传播。通常,它仅影响本就安全的高性能计算机集群。微软建议阻塞TCP端口5999。
本月微软修复了路由和远程访问服务(RRAS) 中的10个漏洞,而上个月修复了12个。本次只有两个RCE漏洞,其余为数据泄露。所有这些漏洞均被归类为高风险。在Windows防火墙服务中,微软修复了6个被视为高风险的EOP漏洞。拥有用户权限的攻击者可能利用这些漏洞获取本地系统账户的授权以执行恶意代码。
严重的Office漏洞
微软修复了其Office产品家族中的16个漏洞,其中包括12个远程代码执行(RCE)漏洞。其中一个RCE漏洞(CVE-2025-54910)因预览窗口被视为攻击载体而被标记为严重。这意味着即使用户未点击或打开文件,仅通过在预览中显示受感染文件就可能发生攻击。
微软将其他Office漏洞归类为高风险。此类漏洞需要用户打开受感染文件,攻击代码才会生效(即“一打开即中招”)。仅在Excel中就修复了8个RCE漏洞。
浏览器安全更新
Edge的最新安全更新版本140.0.3485.54于9月5日发布,基于Chromium 140.0.7339.81。它修复了数个Chromium漏洞以及一个Edge特有漏洞。谷歌此后发布了新的安全更新,微软预计将在本周晚些时候予以跟进。
