2025年10月安全更新回顾
Adobe 2025年10月安全更新
2025年10月,Adobe发布了12个安全公告,修复了Adobe Connect、Commerce、Creative Cloud Desktop、Bridge、Animate、Experience Manager Screens、Substance 3D Viewer、Substance 3D Modeler、FrameMaker、Illustrator、Dimension和Substance 3D Stager中的36个独特CVE。
其中最重要的是Substance 3D Stager的更新,修复了五个关键级别的代码执行漏洞。Dimension的修复解决了四个代码执行漏洞。Illustrator的补丁仅包含两个漏洞,但都导致代码执行。Commerce的更新也应优先处理,修复了五个不同的CVE,包括两个安全功能绕过。FrameMaker的补丁修复了两个关键级别的代码执行漏洞。
Connect的更新有三个漏洞,但两个只是跨站脚本(XSS)问题。Animate的修复有四个漏洞,但只有两个是关键级别。Substance 3D Viewer中四个漏洞中有三个被评为关键级别。Experience Manager Screens的补丁修复了三个XSS漏洞。Substance 3D Modeler补丁修复了一个代码执行漏洞。Creative Cloud补丁仅解决了一个漏洞。最后,Bridge的更新修正了一个代码执行和一个内存泄漏。
Adobe本月修复的所有漏洞在发布时均未列为公开已知或正在被积极利用。Adobe本月发布的所有更新均列为部署优先级3。
微软2025年10月安全更新
本月,微软在Windows和Windows组件、Office和Office组件、Microsoft Edge(基于Chromium)、Azure、Hyper-V、.NET和Visual Studio、GitHub、Exchange Server、BitLocker和Xbox中发布了惊人的177个新CVE。在今天发布的补丁中,16个被评为关键级别,一个被评为中等,其余在严重性上被评为重要。其中一个CVE通过Trend ZDI程序提交。计算发布中列出的第三方更新,CVE总数达到惊人的195个。
此发布代表了微软有史以来最大的月度发布,使其超过了去年发布的CVE数量。随着2025年还剩两个月,这至少是微软安全补丁第二繁忙的年份,有可能超过2020年(总共1250个CVE)。本月的大量发布可能与Windows 10支持结束有关。微软可能正在为仍运行该操作系统的用户尽可能多地推送更新。否则,大型发布似乎已成为微软的新常态。希望这些是高质量的更新,不会对其他软件造成损害或回归。我们最不需要的是(更多)人害怕应用安全补丁。
微软在发布时列出了三个正在被积极利用的漏洞和另外三个公开已知的漏洞。让我们仔细看看本月一些更有趣的更新,从被积极利用的漏洞开始:
被积极利用的漏洞
-
CVE-2025-24990 - Windows Agere Modem Driver 特权提升漏洞 此漏洞允许攻击者在安装了Agere调制解调器驱动程序的系统上提升到管理权限。问题是这些驱动程序在本机支持的Windows版本上提供。由于这些是传统驱动程序,解决方案是删除有问题的文件。微软没有说明这些攻击的广泛程度,但由于易受攻击的文件在所有Windows系统上,您应将其视为广泛攻击并快速更新。
-
CVE-2025-59230 - Windows Remote Access Connection Manager 特权提升漏洞 此特权升级漏洞允许威胁参与者在受影响的目标上以SYSTEM权限执行其代码。这些类型的漏洞通常与代码执行漏洞配对以完全接管系统。同样,没有迹象表明这些攻击可能有多广泛,因此快速测试和部署这些补丁——尤其是因为所有版本的Windows都受到影响。
-
CVE-2025-47827 - MITRE CVE-2025-47827:IGEL OS 11之前版本中的Secure Boot绕过 这个有点奇怪,但我对它很着迷。IGEL是一个基于Linux的操作系统,设计为以应用程序为中心和模块化。根据供应商的说法,应用程序可以独立于底层操作系统交付。如果有的话,这使其更加有趣。不知何故,攻击者能够物理访问此配置中的设备并绕过安全启动功能以获取访问权限。太棒了。我怀疑这是一次极其有针对性的攻击,但这影响了所有受支持的Windows版本,因此不要忽视此补丁。
-
CVE-2025-59287 - Windows Server Update Service (WSUS) 远程代码执行漏洞 此漏洞未列为被积极利用,但我怀疑它很快就会成为目标。这是一个CVSS 9.8的漏洞,允许远程、未经身份验证的攻击者无需用户交互即可利用具有提升权限的代码。这意味着这可以在受影响的WSUS服务器之间蠕虫传播。由于WSUS仍然是任何人基础设施的关键部分,对于寻求造成损害的人来说,这是一个有吸引力的目标。如果您使用WSUS,请勿犹豫,快速测试和部署此更新。
以下是微软2025年10月发布的完整CVE列表:
| CVE | 标题 | 严重性 | CVSS | 公开 | 利用 | 类型 |
|---|---|---|---|---|---|---|
| CVE-2025-47827 * | MITRE CVE-2025-47827: Secure Boot bypass in IGEL OS before 11 | 重要 | 4.6 | 否 | 是 | SFB |
| CVE-2025-24990 | Windows Agere Modem Driver Elevation of Privilege Vulnerability | 重要 | 7.8 | 否 | 是 | EoP |
| CVE-2025-59230 | Windows Remote Access Connection Manager Elevation of Privilege Vulnerability | 重要 | 7.8 | 否 | 是 | EoP |
| CVE-2025-0033 * | AMD CVE-2025-0033: RMP Corruption During SNP Initialization | 关键 | 8.2 | 是 | 否 | RCE |
| CVE-2025-2884 * | Cert CC: CVE-2025-2884 Out-of-Bounds read vulnerability in TCG TPM2.0 reference implementation | 重要 | 5.3 | 是 | 否 | Info |
| CVE-2025-24052 | Windows Agere Modem Driver Elevation of Privilege Vulnerability | 重要 | 7.8 | 是 | 否 | EoP |
*表示此CVE已由第三方发布,现在包含在微软发布中。 †表示需要进一步管理操作才能完全解决漏洞。
查看其余关键补丁,有多个Office补丁导致代码执行,其中预览窗格是攻击向量。这些月复一月地困扰着微软,因此希望他们能尽快解决这些问题。图形组件中有一个漏洞被评为CVSS 9.9,但描述几乎没有详细说明为什么此评级如此高。此发布中列出了几个Azure漏洞,但它们已被解决,无需进一步操作。您需要修补的Azure漏洞在容器实例中,将允许攻击者在目标客户环境中执行代码。Azure计算库中的最终关键级别漏洞也是如此。还有一个第三方AMD漏洞应引起一些关注。根据微软的说法,“正在开发更新以缓解Azure机密计算(ACC)基于AMD的集群中的此漏洞,但尚未完成。“但是,它是公开的,因此请关注任何有关利用的新闻。
继续讨论其他代码执行漏洞,本月发布中只有大约30个,其中大多数是各种Office组件中的简单打开即拥有。在这些情况下,预览窗格不是攻击向量。SharePoint Server中的漏洞需要身份验证,但所需的特权级别不高。RDP客户端中有一个漏洞,但需要连接到恶意RDP服务器才能利用。进入时间机器,我们看到Internet Information Services(IIS)中的几个漏洞可能导致代码执行,如果用户打开了恶意制作的文件。远程桌面协议中的漏洞也是相同的利用场景。最后,微软通过再次复活Internet Explorer来庆祝万圣节。就在您认为IE已经消失时,它总是回来——就像迈克尔·迈尔斯追逐最终女孩一样,它是不可阻挡的。
本月的特权提升(EoP)补丁占此发布的一半以上,超过80个补丁。幸运的是,如果经过身份验证的用户运行特制代码,大多数这些漏洞会导致SYSTEM级代码执行或管理权限。其他可能导致提升代码执行完整性级别——从低完整性移动到中完整性或中到本地系统以执行代码。我应该指出,蓝牙的更新在9月被静默修补,现在才被记录。由于许多原因,这是一个糟糕的做法,但我现在不会深入讨论。这些的显著例外是Exchange Server中的漏洞。攻击者可以使用这些漏洞接管所有Exchange用户的邮箱、阅读电子邮件或下载附件。Azure Monitor Agent中的漏洞将允许威胁参与者从启用ARC的VM以NT SYSTEM权限读取系统上的任何文件。两个内核漏洞允许任何用户崩溃系统,这对我来说听起来像是DoS而不是EoP。还有几个漏洞需要额外工作。Azure Connected Machine Agent中的漏洞需要升级到最新版本。对于基于虚拟化的安全(VBS) enclave,除了补丁之外,您需要应用阻止基于虚拟化的安全(VBS)相关安全更新回滚的指南,该指南已更新以考虑最新更改。最后,Xbox游戏服务中的漏洞允许攻击者删除特定文件,这可以被知情者转变为EoP。
本月发布中有10个安全功能绕过(SFB)补丁,其中六个是Windows BitLocker的绕过。显然,这些需要物理访问设备,但考虑到本月一个被积极利用的漏洞有相同的约束,我不会忽略这些。Windows Hello中的漏洞可能绕过面部或指纹识别。ASP.NET中的绕过可能走私HTTP请求以绕过前端安全控制或劫持其他用户的凭据。对于此补丁,您还需要采取额外步骤确保您的ASP.NET Core应用程序受到保护。这些步骤在公告中列出,并根据实现而有所不同。RDP中的漏洞可能允许攻击者绕过RDP身份验证。本月的最后一个SFB在内核中,允许攻击者解密否则会被混淆的驱动程序设置。
10月发布包含十几个信息泄露更新,正如预期的那样,大多数这些漏洞仅导致未指定的内存内容或内存地址的信息泄漏。当然有一些显著的例外。加密服务中的漏洞可能泄露属于受影响应用程序用户的秘密或特权信息。ADFS中的漏洞可能允许攻击者在ADFS日志中获取单点登录(SSO)cookie。故障转移集群组件中的漏洞可能暴露放入计算实例上系统日志中的任何数据,包括明文密码。除了补丁之外,您应让所有受影响的用户更改其密码。Windows推送通知中的漏洞暴露属于"EventLog” Windows服务的内存地址。.NET、.NET Framework和Visual Studio中存在一个缺陷,可能暴露受影响系统上的PII。最后,任务栏中的漏洞可能暴露"秘密或特权信息”——无论这意味着什么。
本月包含10个不同的欺骗漏洞需要注意(和三个不需要)。SQL的JDBC驱动程序中的漏洞允许攻击者欺骗目标连接到恶意服务器。关于数据共享漏洞的数据不多,但需要身份验证。Exchange漏洞仅声明"未经授权的攻击者通过网络执行欺骗"。NTLM哈希泄露和文件资源管理器漏洞的描述相同。机密虚拟机中的漏洞将此声明限制为本地用户,而Playwright漏洞将其限制为相邻网络。
此发布中有10个拒绝服务(DoS)漏洞的补丁。像往常一样,微软没有提供有关这些漏洞的可操作信息。相反,他们简单地声明攻击者可能通过网络(或本地)拒绝该组件的服务。唯一值得注意的是Office的补丁,它声明预览窗格是攻击向量——尽管微软还指出需要用户交互,因此不清楚DoS是如何触发的。SMB客户端中有一个篡改漏洞,但需要机器在中间(MITM)才能被利用。10月发布以Dynamics 365(本地)中的跨站脚本(XSS)漏洞结束。
本月没有发布新的公告。
展望未来
2025年的下一个补丁星期二将在11月11日,假设我能在Pwn2Own Ireland中幸存下来,我将在那时回来分析并分享我对发布的看法。直到那时,保持安全,快乐打补丁,愿所有重启顺利干净!