2025年10月安全更新回顾
Adobe 2025年10月补丁
2025年10月,Adobe发布了12个安全公告,修复了Adobe Connect、Commerce、Creative Cloud Desktop、Bridge、Animate、Experience Manager Screens、Substance 3D Viewer、Substance 3D Modeler、FrameMaker、Illustrator、Dimension和Substance 3D Stager中的36个独特CVE。
其中最重要的是Substance 3D Stager的更新,修复了五个严重级别的代码执行漏洞。Dimension的修复纠正了四个代码执行错误。Illustrator的补丁仅包含两个漏洞,但都导致代码执行。Commerce的更新也应优先处理,因为它修复了五个不同的CVE,包括两个安全功能绕过。FrameMaker的补丁修复了两个严重级别的代码执行错误。
Connect的更新有三个漏洞,但其中两个只是跨站脚本(XSS)问题。Animate的修复有四个漏洞,但只有两个是严重级别。Substance 3D Viewer中四个漏洞中有三个被评为严重级别。Experience Manager Screens的补丁修复了三个XSS漏洞。Substance 3D Modeler补丁修复了一个代码执行错误。Creative Cloud补丁也只解决了一个漏洞。最后,Bridge的更新纠正了一个代码执行和一个内存泄漏。
Adobe本月修复的所有漏洞在发布时均未列为公开已知或正在被主动利用。Adobe本月发布的所有更新均列为部署优先级3。
微软2025年10月补丁
本月,微软在Windows和Windows组件、Office和Office组件、Microsoft Edge(基于Chromium)、Azure、Hyper-V、.NET和Visual Studio、Github、Exchange Server、BitLocker和Xbox中发布了惊人的177个新CVE。在今天发布的补丁中,16个被评为严重,1个被评为中等,其余在严重性上被评为重要。其中一个CVE来自Trend ZDI项目。计算发布中列出的第三方更新,CVE总数达到惊人的195个。
此发布代表了微软有史以来最大的月度发布,使其超过了去年发布的CVE数量。随着2025年还剩两个月,这至少将是微软安全补丁第二繁忙的年份,有可能超过2020年(总共1250个CVE)。本月的大量发布可能与Windows 10支持结束有关。微软可能正在为仍运行该操作系统的用户尽可能多地推送补丁。否则,大型发布似乎已成为微软的新常态。希望这些是高质量的更新,不会对其他软件造成损害或回归。我们最不需要的是(更多)人害怕应用安全补丁。
微软在发布时列出了三个被主动利用的漏洞和另外三个公开已知的漏洞。让我们仔细看看本月一些更有趣的更新,从被主动利用的漏洞开始:
被主动利用的漏洞
-
CVE-2025-24990 - Windows Agere Modem驱动程序权限提升漏洞 此漏洞允许攻击者在安装了Agere调制解调器驱动程序的系统上提升至管理权限。问题是这些驱动程序在本机支持的Windows版本上提供。由于这些是旧版驱动程序,解决方案是删除有问题的文件。微软没有说明这些攻击的广泛程度,但由于易受攻击的文件在所有Windows系统上,您应将其视为广泛攻击并快速更新。
-
CVE-2025-59230 - Windows远程访问连接管理器权限提升漏洞 此权限提升漏洞允许威胁参与者在受影响的目标上以SYSTEM身份执行其代码。这类漏洞通常与代码执行漏洞配对以完全接管系统。同样,没有迹象表明这些攻击可能有多广泛,因此请快速测试和部署这些补丁——尤其是因为所有版本的Windows都受到影响。
-
CVE-2025-47827 - MITRE CVE-2025-47827:IGEL OS 11之前版本中的安全启动绕过 这个有点奇怪,但我对它很着迷。IGEL是一个基于Linux的操作系统,设计为以应用为中心和模块化。根据供应商的说法,应用程序可以独立于底层操作系统交付。如果有的话,这使其更加有趣。不知何故,攻击者能够物理访问此配置中的设备并绕过安全启动功能以获取访问权限。太棒了。我怀疑这是一次极其有针对性的攻击,但这影响了所有受支持的Windows版本,因此不要忽视此补丁。
其他值得关注的漏洞
- CVE-2025-59287 - Windows服务器更新服务(WSUS)远程代码执行漏洞 此漏洞未列为被主动利用,但我怀疑它很快会成为目标。这是一个CVSS 9.8的漏洞,允许远程、未经身份验证的攻击者无需用户交互即可利用具有提升权限的代码。这意味着这可以在受影响的WSUS服务器之间蠕虫传播。由于WSUS仍然是任何人基础设施的关键部分,对于寻求造成损害的人来说,这是一个有吸引力的目标。如果您使用WSUS,请勿犹豫,快速测试和部署此更新。
完整CVE列表
| CVE | 标题 | 严重性 | CVSS | 公开 | 利用 | 类型 |
|---|---|---|---|---|---|---|
| CVE-2025-47827 * | MITRE CVE-2025-47827:IGEL OS 11之前版本中的安全启动绕过 | 重要 | 4.6 | 否 | 是 | SFB |
| CVE-2025-24990 | Windows Agere Modem驱动程序权限提升漏洞 | 重要 | 7.8 | 否 | 是 | EoP |
| CVE-2025-59230 | Windows远程访问连接管理器权限提升漏洞 | 重要 | 7.8 | 否 | 是 | EoP |
*表示此CVE已由第三方发布,现包含在微软发布中。
其他关键补丁分析
查看其余关键补丁,有多个Office补丁导致代码执行,其中预览窗格是攻击向量。这些月复一月地困扰着微软,因此希望他们能尽快解决这些问题。图形组件中有一个错误被评为CVSS 9.9,但描述几乎没有详细说明为什么此评级如此高。此版本中列出了几个Azure错误,但它们已被解决,无需进一步操作。您需要修补的Azure错误在容器实例中,将允许攻击者在目标客户环境中执行代码。Azure计算库中的最终严重评级错误也是如此。还有一个第三方AMD错误应引起一些关注。根据微软的说法,“正在开发缓解Azure机密计算(ACC)基于AMD的集群中此漏洞的更新,但尚未完成。” 但是,它是公开的,因此请关注任何关于利用的新闻。
转到其他代码执行错误,本月发布中只有大约30个,其中大多数是各种Office组件中的简单打开即拥有。在这些情况下,预览窗格不是攻击向量。SharePoint Server中的错误需要身份验证,但所需的权限级别不高。RDP客户端中有一个错误,但需要连接到恶意RDP服务器才能利用。步入时光机,我们看到Internet Information Services(IIS)中的几个错误可能导致代码执行,如果用户打开了恶意制作的文件。远程桌面协议中的错误也是相同的利用场景。最后,微软通过再次复活Internet Explorer来庆祝万圣节。就在您认为IE已经消失时,它总是回来——就像迈克尔·迈尔斯追逐最终女孩一样,它是不可阻挡的。
权限提升漏洞
本月的权限提升(EoP)补丁占此发布的一半以上,超过80个补丁。幸运的是,如果经过身份验证的用户运行特制代码,大多数这些错误会导致SYSTEM级代码执行或管理权限。其他可能导致提升代码执行完整性级别——从低完整性移动到中完整性或中完整性移动到本地系统以执行代码。我应该指出,蓝牙的更新在9月份被静默修补,现在才被记录。由于许多原因,这是一个糟糕的做法,但我现在不会深入讨论这个问题。这些的显著例外是Exchange Server中的错误。攻击者可以使用这些错误接管所有Exchange用户的邮箱、阅读电子邮件或下载附件。Azure Monitor Agent中的错误将允许威胁参与者从ARC启用的VM中以NT SYSTEM权限读取系统上的任何文件。两个内核错误允许任何用户崩溃系统,这听起来像是DoS而不是EoP。还有几个错误需要额外工作。Azure Connected Machine Agent中的漏洞需要升级到最新版本。对于基于虚拟化的安全(VBS) enclave,除了补丁之外,您需要应用阻止基于虚拟化的安全(VBS)相关安全更新回滚的指南,该指南已更新以考虑最新更改。最后,Xbox游戏服务中的错误允许攻击者删除特定文件,这可以被知情者转变为EoP。
安全功能绕过
本月发布中有10个安全功能绕过(SFB)补丁,其中六个是Windows BitLocker的绕过。显然,这些需要物理访问设备,但考虑到本月其中一个被主动利用的错误有相同的约束,我不会忽略这些。Windows Hello中的错误可以绕过人脸或指纹识别。ASP.NET中的绕过可以走私HTTP请求以绕过前端安全控制或劫持其他用户的凭据。对于此补丁,您还需要采取额外步骤确保您的ASP.NET Core应用程序受到保护。这些步骤在公告中列出,并根据实现而有所不同。RDP中的错误可能允许攻击者绕过RDP身份验证。本月的最后一个SFB在内核中,允许攻击者解密否则会被混淆的驱动程序设置。
信息泄露更新
10月发布包含十几个信息泄露更新,正如预期的那样,大多数这些错误仅导致未指定的内存内容或内存地址的信息泄漏。当然有一些显著的例外。加密服务中的错误可能泄漏属于受影响应用程序用户的秘密或特权信息。ADFS中的漏洞可能允许攻击者在ADFS日志中获取单点登录(SSO)cookie。故障转移集群组件中的错误可能暴露放入计算实例上系统日志中的任何数据,包括明文密码。除了补丁之外,您应该让所有受影响的用户更改其密码。Windows推送通知中的错误暴露属于"EventLog" Windows服务的内存地址。.NET、.NET Framework和Visual Studio中存在一个缺陷,可能暴露受影响系统上的PII。最后,任务栏中的错误暴露"秘密或特权信息"——无论那值得什么。
欺骗漏洞
本月包含10个不同的欺骗错误需要注意(还有三个不需要)。SQL的JDBC驱动程序中的错误允许攻击者诱骗目标连接到恶意服务器。关于数据共享错误的数据不多,但需要身份验证。Exchange错误仅声明"未经授权的攻击者通过网络执行欺骗"。NTLM哈希泄漏和文件管理器错误的描述相同。机密虚拟机中的错误将该语句限制为本地用户,而Playwright错误将其限制为相邻网络。
拒绝服务补丁
此发布中有10个拒绝服务(DoS)错误的补丁。像往常一样,微软没有提供关于这些错误的可操作信息。相反,他们只是声明攻击者可能通过网络(或本地)拒绝该组件的服务。唯一值得注意的是Office的补丁,它声明预览窗格是攻击向量——尽管微软还指出需要用户交互,因此不清楚DoS是如何触发的。SMB客户端中有一个篡改错误,但需要机器在中间(MITM)才能被利用。10月发布以Dynamics 365(本地)中的跨站脚本(XSS)错误结束。
展望未来
2025年的下一个补丁星期二将在11月11日,假设我能在Pwn2Own Ireland中幸存下来,我将在那时回来分析并分享关于发布的思考。直到那时,保持安全,快乐打补丁,愿所有重启顺利干净!