2025年10月补丁星期二:更新与分析
微软在其2025年10月安全更新中修复了172个漏洞,这是今年单月修复漏洞数量最多的一次。本月补丁解决了2个公开披露的漏洞、3个零日漏洞和8个关键漏洞,以及159个不同严重级别的其他漏洞。
2025年10月风险分析
本月按利用技术分类的主要风险类型是权限提升(80个补丁,占47%)、远程代码执行(31个补丁,占18%)和信息披露(28个补丁,占16%)。
图1. 2025年10月补丁星期二利用技术细分
Microsoft Windows本月收到最多补丁,达134个,其次是Microsoft Office(18个)和Azure(6个)。
图2. 受2025年10月补丁星期二影响的产品系列细分
Windows 10支持终止
如前所述,Windows 10于2025年10月14日正式终止支持。根据微软的说法,要获得Windows 10扩展安全更新资格,受影响的主机必须升级到22H2版本。这意味着常规Windows 10主机在此日期后将不再接收常规安全更新。截至2025年10月14日,非22H2的Windows 10主机将在CrowdStrike Falcon®暴露管理漏洞管理窗格中被识别为不受支持的软件漏洞。
Windows Agere Modem驱动中公开披露的漏洞
CVE-2025-24052是一个影响Windows Agere Modem驱动程序的重要权限提升漏洞,CVSS评分为7.8。该漏洞允许经过身份验证的低权限本地攻击者通过利用第三方Agere Modem驱动程序(ltmdm64.sys)中的基于栈的缓冲区溢出弱点,将权限提升至管理员级别。
该漏洞已被公开披露。虽然没有证据表明在野外被积极利用,但由于有概念验证代码可用,利用被认为更有可能。此漏洞影响所有支持版本的带有Agere Modem驱动程序的Windows系统,需要本地访问才能利用,攻击复杂度低,需要低权限但无需用户交互。
成功利用后,攻击者可以获得管理员权限,可能完全危害受影响Windows系统的机密性、完整性和可用性。值得注意的是,即使调制解调器未主动使用,此漏洞也可被利用。微软在10月累积更新中移除了ltmdm64.sys驱动程序,这将导致依赖此驱动程序的传真调制解调器硬件在Windows上无法工作。
表1. Windows Agere Modem驱动中公开披露的漏洞
| 严重性 | CVSS评分 | CVE | 描述 |
|---|---|---|---|
| 重要 | 7.8 | CVE-2025-24052 | Windows Agere Modem驱动权限提升漏洞 |
TCG TPM2.0参考实现中公开披露的漏洞
CVE-2025-2884是一个影响TCG TPM2.0参考实现的重要信息披露漏洞,CVSS评分为5.3。该漏洞允许经过身份验证的低权限本地攻击者通过利用CryptHmacSign辅助函数中由于缺乏签名方案与签名密钥算法的验证而导致的越界读取弱点来泄露敏感信息。
该漏洞已被公开披露。没有证据表明在野外被积极利用,且利用可能性较小。该漏洞影响使用TCG TPM2.0参考实现的系统,需要本地访问才能利用,攻击复杂度高,需要低权限但无需用户交互。
成功利用后,攻击者可以通过信息披露实现高机密性影响,并对受影响系统产生低可用性影响,但无法危害系统完整性。记录的Windows更新包含了解决此漏洞的TCG TPM2.0参考实现更新。
表2. TCG TPM2.0参考实现中公开披露的漏洞
| 严重性 | CVSS评分 | CVE | 描述 |
|---|---|---|---|
| 重要 | 5.3 | CVE-2025-2884 | TCG TPM2.0参考实现中的越界读取漏洞 |
Windows远程访问连接管理器中的零日漏洞
CVE-2025-59230是一个影响Windows远程访问连接管理器的重要权限提升漏洞,CVSS评分为7.8。该漏洞允许经过身份验证的低权限本地攻击者通过利用Windows远程访问连接管理器中的不当访问控制弱点并将本地访问系统来将其权限提升至SYSTEM级别。
2025年10月,CrowdStrike识别出一个利用零日(当时)漏洞的本地权限提升二进制文件。微软随后披露、修补并确认此漏洞(现跟踪为CVE-2025-59230)已在野外被利用。CrowdStrike Counter Adversary Operations评估至少有一个威胁行为者可能已经利用或计划在近期利用最近披露的CVE-2025-59230。虽然此活动目前未归因于跟踪的对手或与特定的操作动机一致,但额外研究显示此活动很可能由电子犯罪团伙进行。
该漏洞影响具有远程访问连接管理器的Windows系统,需要本地访问才能利用,攻击复杂度低,需要低权限但无需用户交互。成功利用后,攻击者可以获得SYSTEM权限,可能完全危害受影响Windows系统的机密性、完整性和可用性。
表3. Windows远程访问连接管理器中的重要零日漏洞
| 严重性 | CVSS评分 | CVE | 描述 |
|---|---|---|---|
| 重要 | 7.8 | CVE-2025-59230 | Windows远程访问连接管理器权限提升漏洞 |
Windows Agere Modem驱动中的零日漏洞
CVE-2025-24990是一个影响Windows Agere Modem驱动程序的重要权限提升漏洞,CVSS评分为7.8。该漏洞允许经过身份验证的低权限本地攻击者通过利用本机随支持Windows操作系统提供的第三方Agere Modem驱动程序(ltmdm64.sys)中的不可信指针解引用弱点将其权限提升至管理员级别。
有证据表明在野外存在积极利用,且功能利用代码可用,并已检测到利用。该漏洞影响所有支持版本的带有Agere Modem驱动程序的Windows系统,需要本地访问才能利用,攻击复杂度低,需要低权限但无需用户交互。成功利用后,攻击者可以获得管理员权限,可能完全危害受影响的Windows系统。值得注意的是,即使调制解调器未主动使用,此漏洞也可被利用,微软在10月累积更新中移除了ltmdm64.sys驱动程序,这将导致依赖此驱动程序的传真调制解调器硬件在Windows上无法工作。
表4. Windows Agere Modem驱动管理器中的重要零日漏洞
| 严重性 | CVSS评分 | CVE | 描述 |
|---|---|---|---|
| 重要 | 7.8 | CVE-2025-24990 | Windows Agere Modem驱动权限提升漏洞 |
IGEL OS版本11之前Secure Boot中的零日漏洞
CVE-2025-47827是一个影响版本11之前IGEL OS版本的重要安全功能绕过漏洞,CVSS评分为4.6。该漏洞允许未经身份验证的物理攻击者通过利用igel-flash-driver模块中使用过期密钥的弱点来绕过Secure Boot,该模块不正确地验证加密签名并允许从未经验证的SquashFS映像挂载精心制作的根文件系统。
有证据表明在野外存在积极利用,且功能利用代码可用。该漏洞需要物理访问才能利用,攻击复杂度低,无需权限或用户交互。成功利用后,攻击者可以绕过Secure Boot安全功能,可能对受影响系统造成高可用性、完整性和机密性影响。
表5. IGEL OS版本11之前Secure Boot中的重要零日漏洞
| 严重性 | CVSS评分 | CVE | 描述 |
|---|---|---|---|
| 重要 | 4.6 | CVE-2025-47827 | IGEL OS版本11之前Secure Boot绕过漏洞 |
Microsoft图形组件中的关键漏洞
CVE-2025-49708是一个影响Microsoft图形组件的重要权限提升漏洞,CVSS评分为9.9。该漏洞允许经过身份验证的低权限远程攻击者通过利用Microsoft图形组件中在网络连接上的释放后使用弱点将其权限提升至SYSTEM级别。
该漏洞未被公开披露,没有证据表明在野外被积极利用,但利用被认为可能性较小。该漏洞影响使用Microsoft图形组件的Windows系统,可以从互联网远程利用,攻击复杂度低,无需用户交互。
成功利用后,攻击者可以通过访问本地客户虚拟机(VM)来攻击主机操作系统,从而获得SYSTEM权限,可能完全危害受影响Windows系统的机密性、完整性和可用性,并由于此漏洞的更改范围性质影响在同一主机上运行的其他VM。
表6. Microsoft图形组件中的关键漏洞
| 严重性 | CVSS评分 | CVE | 描述 |
|---|---|---|---|
| 关键 | 9.9 | CVE-2025-49708 | Microsoft图形组件权限提升漏洞 |
Windows服务器更新服务中的关键漏洞
CVE-2025-59287是一个影响Windows服务器更新服务(WSUS)的关键远程代码执行漏洞,CVSS评分为9.8。该漏洞允许未经身份验证的远程攻击者通过利用WSUS中在网络连接上不受信数据的不安全反序列化来执行任意代码。
该漏洞未被公开披露,没有证据表明在野外被积极利用,但利用被认为更有可能。该漏洞影响运行WSUS的Windows系统,可以从互联网远程利用,攻击复杂度低,无需权限或用户交互。
成功利用后,攻击者可以通过发送触发旧序列化机制中不安全对象反序列化的精心制作事件来实现远程代码执行,可能完全危害受影响WSUS系统的机密性、完整性和可用性。
表7. Windows服务器更新服务(WSUS)中的关键漏洞
| 严重性 | CVSS评分 | CVE | 描述 |
|---|---|---|---|
| 关键 | 9.8 | CVE-2025-59287 | Windows服务器更新服务(WSUS)远程代码执行漏洞 |
Microsoft Office中的关键漏洞
CVE-2025-59236是一个影响Microsoft Excel的关键远程代码执行漏洞,CVSS评分为8.4。该漏洞允许未经身份验证的本地攻击者通过利用Microsoft Office Excel中通过本地访问系统的释放后使用弱点来执行任意代码。成功利用后,攻击者可以在受影响系统上本地实现任意代码执行。
CVE-2025-59234是一个影响Microsoft Office的关键远程代码执行漏洞,CVSS评分为7.8。该漏洞允许未经身份验证的本地攻击者通过利用Microsoft Office中通过本地访问系统的释放后使用弱点来执行任意代码,需要用户交互。
CVE-2025-59227是一个影响Microsoft Office的关键远程代码执行漏洞,CVSS评分为7.8。该漏洞允许未经身份验证的本地攻击者通过利用通过本地访问系统的释放后使用弱点来执行任意代码,需要用户交互。
这些漏洞未被公开披露,没有证据表明在野外被积极利用。利用需要本地访问,攻击复杂度低。不需要权限,但需要用户交互。成功利用后,当用户打开恶意文件时,可以实现任意代码执行。预览窗格在类似漏洞(2023年4月、2023年7月、2023年12月、2024年10月、2025年1月、2025年2月、2025年4月、2025年6月、2025年9月)中一直是常见的攻击向量。
表8. Microsoft Office中的关键漏洞
| 严重性 | CVSS评分 | CVE | 描述 |
|---|---|---|---|
| 关键 | 8.4 | CVE-2025-59236 | Microsoft Excel远程代码执行漏洞 |
| 关键 | 7.8 | CVE-2025-59234 | Microsoft Office远程代码执行漏洞 |
| 关键 | 7.8 | CVE-2025-59227 | Microsoft Office远程代码执行漏洞 |
Microsoft Azure中的关键漏洞
CVE-2025-59291是一个影响机密Azure容器实例的关键权限提升漏洞,CVSS评分为8.2。该漏洞允许经过身份验证的高权限本地攻击者通过利用机密Azure容器实例中通过本地访问系统的文件名或路径的外部控制弱点来提升其权限。
该漏洞需要本地访问才能利用,攻击复杂度低,需要高权限但无需用户交互。成功利用后,攻击者可以通过诱骗系统将恶意文件共享挂载到敏感位置,在机密ACI边车容器中获得代码执行,从主机控制升级到机密容器,可能完全危害受影响系统。
CVE-2025-59292是一个影响Azure计算库的关键权限提升漏洞,CVSS评分为8.2。该漏洞允许经过身份验证的高权限本地攻击者通过利用Azure计算库中通过本地访问系统的文件名或路径的外部控制弱点来提升其权限。
该漏洞需要本地访问才能利用,攻击复杂度低,需要高权限但无需用户交互。成功利用后,攻击者可以通过诱骗系统将恶意文件共享挂载到敏感位置,在机密ACI边车容器中获得代码执行,从主机控制升级到机密容器,可能完全危害受影响系统。
由于这些漏洞的更改范围性质,成功攻击允许容器主机在目标客户环境中执行代码,扩大了最初受损组件之外的影响。这些漏洞未被公开披露,没有证据表明在野外被积极利用,但利用被认为可能性较小。
表9. Microsoft Azure中的关键漏洞
| 严重性 | CVSS评分 | CVE | 描述 |
|---|---|---|---|
| 关键 | 8.2 | CVE-2025-59291 | 机密Azure容器实例权限提升漏洞 |
| 关键 | 8.2 | CVE-2025-59292 | Azure计算库权限提升漏洞 |
LibTIFF中的关键漏洞
CVE-2016-9535是一个影响LibTIFF的关键远程代码执行漏洞,CVSS评分为4.0。该漏洞允许未经身份验证的本地攻击者通过利用LibTIFF的tif_predict.h和tif_predict.c组件在处理异常图块大小(如带有子采样的YCbCr)时的堆缓冲区溢出弱点导致拒绝服务或可能执行任意代码。
该漏洞未被公开披露,没有证据表明在野外被积极利用,但利用被认为不太可能。该漏洞影响使用LibTIFF 4.0.6的系统,需要本地访问才能利用,攻击复杂度低,无需权限或用户交互。成功利用后,攻击者可以在调试模式下导致断言失败或在发布模式下导致缓冲区溢出,可能对受影响系统产生低可用性影响。此漏洞也被称为"Predictor堆缓冲区溢出",报告为MSVR 35105,Windows更新包含了解决对易受攻击第三方组件依赖的LibTIFF更新。
表10. LibTIFF中的关键漏洞
| 严重性 | CVSS评分 | CVE | 描述 |
|---|---|---|---|
| 关键 | 4.0 | CVE-2016-9535 | LibTIFF远程代码执行漏洞 |
Falcon平台中的补丁星期二仪表板
要可视化查看受本月漏洞影响的系统,您可以使用我们的补丁星期二仪表板。这可以在CrowdStrike Falcon®平台中的暴露管理 > 漏洞管理 > 仪表板页面中找到。预设仪表板显示最近三个月的补丁星期二漏洞。
并非所有相关漏洞都有补丁:考虑缓解策略
正如我们从其他值得注意的漏洞(如Log4j)中学到的,并非每个高度可利用的漏洞都可以轻松修补。对于ProxyNotShell漏洞,制定当不存在修补协议时如何防御环境的响应计划至关重要。
定期审查修补策略仍应是您计划的一部分,但您还应更全面地审视组织的网络安全方法,并改善整体安全状况。
CrowdStrike Falcon平台每天定期从部署在176个国家的数百万个传感器收集和分析数万亿端点事件。观看此演示以了解Falcon平台的运作。
关于CVSS评分
通用漏洞评分系统(CVSS)是一个免费开放的行业标准,CrowdStrike和许多其他网络安全组织使用它来评估和传达软件漏洞的严重性和特征。CVSS基础评分范围从0.0到10.0,国家漏洞数据库(NVD)为CVSS评分添加严重性评级。
其他资源
有关哪些产品在微软扩展安全更新计划中的更多信息,请参阅供应商指南此处。了解Falcon暴露管理如何帮助您发现和管理环境中的漏洞和其他暴露。使优先级排序轻松高效。观看Falcon暴露管理如何使IT员工通过自定义过滤器和团队仪表板提高可见性。通过CrowdStrike® Falcon Prevent™免费试用测试CrowdStrike下一代防病毒软件。