2025年10月补丁星期二:微软修复172个漏洞,多款产品终止支持

2025年10月补丁星期二发布重要安全更新,微软修复了172个CVE漏洞,包括3个已被利用和2个公开披露的漏洞。Windows 10、Office 2016/2019等多款产品终止支持,Adobe和Mozilla也发布了关键安全补丁。

关键要点

2025年10月14日标志着Windows 10系统、Office 2016和2019以及Exchange 2016和2019的最后一次公开安全更新。微软将为Windows 10提供为期三年的扩展安全更新(ESU)支持,但需额外付费。Exchange用户需要迁移到Exchange Online或订阅版本。

微软解决了172个新的CVE(2025年迄今为止最高,可能也是微软补丁星期二历史上最高),包括三个已知被利用和两个公开披露的漏洞。八个CVE被微软评为严重级别(五个远程代码执行,三个权限提升),影响Windows操作系统、Office和Azure。

Mozilla发布了五个更新,解决了45个CVE。Mozilla对其中三个已解决的CVE使用的语言非常具体。他们表示,有证据显示存在内存损坏,可能反映了 exploitation,但目前尚未得到确认。所有五个更新至少包含一个疑似被利用的CVE,因此我们建议将所有五个更新视为包含已知被利用的CVE。

Adobe发布了12个更新,解决了36个CVE。Adobe将Commerce更新评为优先级二,其余更新评为优先级三。

十月补丁星期二概览

十月的补丁星期二从各个角度来看都将非常繁忙。微软本月解决的CVE数量(172个)大幅超过了一月份的数量(159个)。本月有三个被利用和两个公开披露的漏洞,但幸运的是,它们都在累积操作系统更新中,使得修复快速且干净。此外,许多产品也已终止支持,包括Windows 10!Office 2016和2019以及Exchange Server 2016和2019也已终止支持。

Adobe发布了12个更新,解决了36个CVE。Mozilla发布了五个更新,解决了45个CVE,并警告用户其中三个CVE显示出可能已在野被利用的迹象(未确认)。当然,Google Chrome预计将在未来24小时内发布每周更新。

有很多内容需要梳理,让我们开始吧。

微软被利用的漏洞

微软解决了IGEL OS 11之前版本中的Secure Boot绕过漏洞(CVE-2025-47827),微软已确认该漏洞在野被利用。该CVE评级为重要,CVSS 3.1得分为4.6。由于igel-flash-driver模块未正确验证加密签名,导致Secure Boot可能被绕过,允许从未经验证的镜像挂载精心构造的根文件系统。

微软解决了远程访问连接管理器中的权限提升漏洞(CVE-2025-59230),微软已确认该漏洞在野被利用。该CVE评级为重要,CVSS 3.1得分为7.8。Windows远程访问连接管理器中的不当访问控制允许经过身份验证的攻击者在本地提升权限。基于风险的优先级处理方法应将其视为严重。

微软解决了Agere Modem驱动程序中的权限提升漏洞(CVE-2025-24990),微软已确认该漏洞在野被利用。该CVE评级为重要,CVSS 3.1得分为7.8。该驱动程序随Windows操作系统原生提供。微软已通过十月累积更新移除了该驱动程序,并建议移除对此传真调制解调器硬件的任何现有依赖。即使未使用该驱动程序,也可能被利用。基于风险的优先级处理方法应将其视为严重。

微软公开披露的漏洞

微软解决了Agere Modem驱动程序中的权限提升漏洞(CVE-2024-24052),微软已确认该漏洞已公开披露。该CVE评级为重要,CVSS 3.1得分为7.8。利用代码成熟度列为概念验证,这增加了被利用的风险。基于风险的优先级处理方法应将其视为严重。

微软解决了TCG TPM2.0参考实现中的越界读取漏洞(CVE-2024-2884),微软已确认该漏洞已公开披露。该CVE评级为重要,CVSS 3.1得分为5.3。利用代码成熟度列为未经验证,表明目前没有公开可用的代码。

Ivanti安全公告

Ivanti为十月补丁星期二发布了两个更新和一个安全公告,共解决了七个CVE。受影响的产品包括Ivanti Neurons for MDM和Ivanti Endpoint Manager Mobile。Ivanti Neurons for MDM的漏洞已于2025年10月10日为所有客户解决。还为Ivanti Endpoint Manager发布了额外的安全公告,为2025年10月7日披露的漏洞提供了缓解选项。

有关更多详细信息,您可以在Ivanti博客上查看十月安全更新中提供的更新和信息。

第三方漏洞

Adobe发布了12个更新,解决了36个CVE。Adobe将Commerce更新评为优先级二,其余更新评为优先级三。

Mozilla发布了五个更新,解决了45个CVE。其中三个CVE包含类似“部分错误显示存在内存损坏的证据,我们推测通过足够努力,其中一些可能被利用来运行任意代码”的陈述,表明可能在野被利用。所有五个更新至少包含一个疑似被利用的CVE,我们建议将所有五个更新视为包含已知被利用的CVE。

Google Chrome预计将在未来24小时内发布,因此请计划更新Chrome,并可能随后更新Edge。

十月更新优先级

本月Windows操作系统的累积更新是最高优先级,因为它解决了三个被利用和两个公开披露的CVE。

所有Mozilla更新应在当前维护期间部署,但任何延迟或推迟都会带来风险,因为已有三个CVE被推测为可在野利用。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次