2025年2月补丁星期二

最后更新：2025年2月11日

作者：Chris Goettl

微软已利用漏洞

微软修复了Windows Ancillary Function Driver for WinSock中的权限提升漏洞（CVE-2025-21418）。该漏洞评级为"重要"，CVSSv3.1得分为7.8，影响从Windows 10到11及Server 2008到Server 2025的所有版本。微软确认该漏洞已被野外利用，攻击者可获取SYSTEM权限。基于风险评估，建议将此漏洞视为"严重"级别。

微软修复了Windows Storage中的另一个权限提升漏洞（CVE-2025-21391）。该漏洞评级为"重要"，CVSSv3.1得分7.1，影响Windows 10到11及Server 2016到Server 2025。微软确认该CVE已被野外利用，基于风险评估应视为"严重"。

微软修订了先前修复的Secure Boot安全功能绕过漏洞（CVE-2023-24932）。该漏洞评级为"重要"，CVSSv3.1得分6.7，更新后确认Windows 11 24H2和Server 2025同样受影响。微软发布了更全面的更新以完全防护此漏洞，基于风险评估应视为"严重"。

微软公开披露漏洞

微软修复了NTLM哈希披露中的欺骗漏洞（CVE-2025-21377）。该漏洞评级为"重要"，CVSSv3.1得分6.5，影响从Windows 10到11及Server 2008到Server 2025的所有版本。微软确认该CVE已被公开披露，利用代码成熟度为功能性，进一步增加利用风险。基于风险评估应视为"严重"。

微软修复了Microsoft Surface中的安全功能绕过漏洞（CVE-2025-21194）。该漏洞评级为"重要"，CVSSv3.1得分7.1，影响Microsoft Surface和Surface Dev Kit系统。微软确认该漏洞已被公开披露，但代码成熟度未经证实。

第三方漏洞

Adobe发布了InDesign、Commerce、Substance 3D Stager、InCopy、Illustrator、Substance 3D Designer和Photoshop Elements的更新，共修复45个CVE。其中六个更新为优先级3，Adobe Commerce设置为优先级1。Commerce更新修复了本月45个CVE中的30个，需要更立即关注。

Google Chrome预计今日晚些时候更新，将触发基于Chromium的浏览器（包括Microsoft Edge）的更新。建议本周密切关注Chrome和Edge更新。

Ivanti安全公告

Ivanti发布了五个产品更新，修复11个CVE，其中四个为"严重"级别。受影响产品包括Ivanti Cloud Service Application、Ivanti Neurons for MDM、Ivanti Connect Secure、Ivanti Policy Secure和Ivanti Secure Access Client。发布时，Ivanti未发现这11个CVE有任何利用或公开披露。更多信息请参见二月安全公告页面。

二月更新优先级

微软Windows是本月的最高优先级，包含三个已知利用的CVE、两个公开披露的已修复漏洞和两个严重CVE。

浏览器是攻击者针对用户的主要目标。虽然建议将浏览器纳入月度更新流程，但周期之间仍会暴露大量CVE。建议将浏览器更新调整为每周优先级节奏。Mozilla Firefox每月发布两到三次，Google Chrome自2023年8月起每周发布安全更新，基于Chromium的Microsoft Edge也每周发布。建议每周更新所有浏览器以跟上持续的安全修复流。

关于Chris Goettl
Chris Goettl是Ivanti安全产品副总裁，拥有15年以上IT经验，为Ivanti客户支持和实施安全解决方案，并指导Ivanti安全产品的战略和愿景。作为安全布道者，他在全球安全活动中演讲，提供关于现代网络威胁及有效应对措施的指导。Chris主持每月关注补丁星期二和安全漏洞的网络研讨会，并经常撰写安全主题博客。他的评论和署名文章可见于SC Magazine、Redmond Magazine、ComputerWorld等知名安全新闻源。