主要要点
- 2025年10月14日标志着Windows 10系统、Office 2016和2019以及Exchange 2016和2019的最后一次公开安全更新
- 微软将为Windows 10提供为期三年的扩展安全更新(ESU)支持,但需额外付费
- Exchange用户需要迁移到Exchange Online或订阅版本
- 微软解决了172个新CVE(2025年迄今为止最高,可能也是微软补丁星期二历史上最高)
- 包括三个已知被利用漏洞和两个公开披露漏洞
- 八个CVE被微软评为严重级别(五个远程代码执行,三个权限提升)
- 影响Windows操作系统、Office和Azure
十月补丁星期二概览
十月的补丁星期二从各个角度来看都将十分繁忙。微软以本月解决的172个CVE数量,大幅超过了一月份的CVE数量(159个)。本月有三个被利用和两个公开披露的漏洞,但幸运的是它们都在累积操作系统更新中,使得修复快速而干净。此外,许多产品也即将终止支持,包括Windows 10!Office 2016和2019以及Exchange Server 2016和2019也已达到生命周期终点。
Adobe发布了12个更新,解决了36个CVE。Mozilla发布了五个更新,解决了45个CVE,并警告用户其中三个CVE显示出可能已在野外被利用的迹象(未经确认)。当然,Google Chrome预计将在未来24小时内发布每周更新。
微软的被利用漏洞
CVE-2025-47827 - IGEL OS安全启动绕过
- 微软确认已在野外被利用
- 评级:重要,CVSS 3.1分数:4.6
- 安全启动可被绕过,因为igel-flash-driver模块未正确验证加密签名,允许从未经验证的镜像挂载特制的根文件系统
CVE-2025-59230 - 远程访问连接管理器权限提升
- 微软确认已在野外被利用
- 评级:重要,CVSS 3.1分数:7.8
- Windows远程访问连接管理器中的不当访问控制允许经过身份验证的攻击者在本地提升权限
- 基于风险的优先级方法应将其视为严重
CVE-2025-24990 - Agere调制解调器驱动程序权限提升
- 微软确认已在野外被利用
- 评级:重要,CVSS 3.1分数:7.8
- 该驱动程序随Windows操作系统原生提供
- 微软已通过十月累积更新移除该驱动程序,并建议移除对此传真调制解调器硬件的任何现有依赖
- 即使驱动器未在使用,也可能被利用
微软的公开披露漏洞
CVE-2024-24052 - Agere调制解调器驱动程序权限提升
- 微软确认已公开披露
- 评级:重要,CVSS 3.1分数:7.8
- 漏洞利用代码成熟度列为概念验证,增加了利用风险
CVE-2024-2884 - TCG TPM2.0参考实现越界读取
- 微软确认已公开披露
- 评级:重要,CVSS 3.1分数:5.3
- 漏洞利用代码成熟度列为未经验证,表明当前没有公开可用的代码
Ivanti安全公告
Ivanti为十月补丁星期二发布了两个更新和一个安全公告,共解决了七个CVE。受影响的产品包括Ivanti Neurons for MDM和Ivanti Endpoint Manager Mobile。Ivanti Neurons for MDM漏洞已于2025年10月10日为所有客户解决。还为Ivanti Endpoint Manager发布了额外的安全公告,为2025年10月7日披露的漏洞提供了缓解选项。
第三方漏洞
Adobe
- 发布了12个更新,解决了36个CVE
- Adobe将Commerce更新评为优先级二,其余更新评为优先级三
Mozilla
- 发布了五个更新,解决了45个CVE
- 其中三个CVE包含以下声明的变体:“其中一些错误显示出内存损坏的证据,我们推测通过足够努力,其中一些可能被利用来运行任意代码”
- 所有五个更新都包含至少一个疑似被利用的CVE
Google Chrome
- 预计在未来24小时内发布,因此请计划Chrome更新和可能的Edge更新
十月更新优先级
-
Windows操作系统累积更新是本月的最高优先级,因为它解决了三个被利用和两个公开披露的CVE
-
所有Mozilla更新应在当前维护期间部署,任何延迟都会带来风险,因为有三个CVE据推测已在野外可利用