微软2025年9月补丁星期二发布

微软公司今日发布安全更新，修复了Windows操作系统和软件中的80多个漏洞。本月更新包中未发现已知的"零日"或正被主动利用的漏洞，但包含13个被微软标记为"严重"级别的缺陷修复。与此同时，苹果和谷歌最近也发布了修复其设备中零日漏洞的更新。

关键漏洞详情

CVE-2025-54918 - Windows NTLM认证漏洞

• 微软将该漏洞评为"更可能被利用"
• 尽管被列为权限提升漏洞，但Immersive公司的Kev Breen表示该漏洞实际上可通过网络或互联网利用
• 攻击者通过向目标设备发送特制数据包，可获得SYSTEM级权限
• 攻击者可能需要先获取NTLM哈希或用户凭证

CVE-2025-55234 - Windows SMB客户端漏洞

• CVSS评分为8.8分
• 被列为权限提升漏洞，但同样可远程利用
• 攻击者可通过网络对目标主机执行重放攻击，获得额外权限并可能导致代码执行

CVE-2025-54916 - Windows NTFS重要漏洞

• 可导致远程代码执行
• 需要攻击者能在主机上运行代码或诱使用户运行触发漏洞的文件
• 常见于社会工程攻击中

漏洞分布趋势

Tenable高级研究工程师Satnam Narang指出，本月微软修复的漏洞中近半数是权限提升漏洞，这些漏洞要求攻击者必须先获得目标系统的访问权限。

“这是今年第三次微软修复的权限提升漏洞数量超过远程代码执行漏洞，“Narang观察到。

其他厂商更新

谷歌于9月3日修复了两个在零日攻击中被利用的漏洞：

• CVE-2025-38352：Android内核权限提升
• CVE-2025-48543：Android运行时组件权限提升

苹果修复了今年第七个零日漏洞CVE-2025-43300，该漏洞与WhatsApp漏洞(CVE-2025-55177)结合使用，构成攻击链用于入侵苹果设备。国际特赦组织报告称这两个零日漏洞在过去90天内被用于"高级间谍软件活动”。

企业更新建议

SANS互联网风暴中心提供了按严重程度和CVSS评分索引的微软各修复程序可点击明细。参与补丁测试的企业Windows管理员应关注askwoody.com网站，该网站经常提供有关不稳定更新的最新信息。

AskWoody还提醒，距离微软停止为Windows 10计算机提供免费安全更新仅剩两个月。对于希望安全延长这些旧机器使用寿命的用户，可查阅上月的补丁星期二报道获取相关建议。

一如既往，请勿忘记定期备份数据（如果不是整个系统），如果在安装任何这些修复程序时遇到问题，欢迎在评论中提出。