2025年2月补丁星期二:微软零日漏洞与浏览器安全更新解析

本文详细分析了2025年2月补丁星期二的安全更新情况,包括微软修复的56个新CVE中的两个零日漏洞、Adobe的45个CVE修复,以及浏览器安全更新建议,为企业安全团队提供优先修复指南。

2025年2月补丁星期二

2025年2月的补丁星期二随着Adobe和Microsoft的发布而逐渐升温,预计Google也将发布更新。Adobe通过七次更新解决了45个CVE。其中规模最大、优先级最高的是Adobe Commerce,解决了30个CVE。Microsoft在经历了一月份的大规模发布后,今年二月份仅解决了56个新CVE。其中包含两个新的零日漏洞和一个修订的Secure Boot零日漏洞,使得Windows操作系统成为本月的重中之重。

Microsoft exploited vulnerabilities

Microsoft解决了Windows Ancillary Function Driver for WinSock中的一个权限提升漏洞(CVE-2025-21418)。该漏洞评级为重要,CVSSv3.1得分为7.8。该漏洞影响从Windows 10到11以及Server 2008到Server 2025的所有Windows版本。Microsoft已确认此CVE在野外被利用。利用此漏洞的攻击者可以获得SYSTEM权限。基于风险的优先级排序要求将此漏洞视为严重。

Microsoft解决了Windows Storage中的一个权限提升漏洞(CVE-2025-21391)。该漏洞评级为重要,CVSSv3.1得分为7.1。该漏洞影响Windows 10到11以及Server 2016到Server 2025。Microsoft已确认此CVE在野外被利用。基于风险的优先级排序要求将此漏洞视为严重。

Microsoft修订了先前解决的Secure Boot中的安全功能绕过漏洞(CVE-2023-24932)。该漏洞评级为重要,CVSSv3.1得分为6.7。该漏洞更新后包括Windows 11 24H2和Server 2025,因为它们也受到此已知被利用和公开利用的漏洞的影响。此外,Microsoft已发布更全面的更新到所有受影响版本,以完全防范此漏洞。基于风险的优先级排序要求将此漏洞视为严重。

Microsoft publicly disclosed vulnerabilities

Microsoft解决了NTLM Hash Disclosure中的一个欺骗漏洞(CVE-2025-21377)。该漏洞评级为重要,CVSSv3.1得分为6.5。该漏洞影响从Windows 10到11以及Server 2008到Server 2025的所有Windows版本。Microsoft已确认此CVE已公开披露。时间指标表明漏洞利用代码成熟度为功能性,进一步增加了利用风险。基于风险的优先级排序要求将此漏洞视为严重。

Microsoft解决了Microsoft Surface中的一个安全功能绕过漏洞(CVE-2025-21194)。该漏洞评级为重要,CVSSv3.1得分为7.1。该漏洞影响Microsoft Surface和Surface Dev Kit系统。Microsoft已确认此漏洞已公开披露,但代码成熟度未经证实。

Third-party vulnerabilities

Adobe发布了InDesign、Commerce、Substance 3D Stager、InCopy、Illustrator、Substance 3D Designer和Photoshop Elements的更新,共解决了45个CVE。其中六次更新为优先级3。Adobe Commerce设置为优先级1。Commerce更新解决了Adobe本月解决的45个CVE中的30个,值得更立即关注。

Google Chrome预计将在今天晚些时候更新,这将触发基于Chromium的浏览器(包括Microsoft Edge)的更新,因此在本周内请密切关注Chrome和Edge的更新。

Ivanti security advisory

Ivanti发布了五个产品更新,解决了11个CVE,其中四个为严重。受影响的产品包括Ivanti Cloud Service Application、Ivanti Neurons for MDM、Ivanti Connect Secure、Ivanti Policy Secure和Ivanti Secure Access Client。在发布时,Ivanti未意识到这11个已解决的CVE有任何利用或公开披露。更多信息,请参阅二月安全公告页面。

February update priorities

Microsoft Windows是本月的最高优先级,有三个已知被利用的CVE,两个已公开披露的漏洞已解决,以及两个严重CVE。

浏览器是攻击者针对用户的主要目标。虽然建议将浏览器纳入每月更新流程,但这在周期之间会暴露许多CVE。建议将浏览器移至每周优先级更新节奏。Mozilla Firefox每月发布两到三次。Google Chrome自2023年8月以来每周发布安全更新。基于Chromium的Microsoft Edge也每周发布。建议每周更新所有浏览器,以跟上持续的安全修复流。

About Chris Goettl

Chris Goettl是Ivanti安全产品的产品管理副总裁。Chris在IT领域拥有超过15年的经验,他为Ivanti客户支持和实施安全解决方案,并指导Ivanti安全产品的安全策略和愿景。他还是一名安全布道者,在全球安全活动中发表演讲,提供关于现代网络威胁及如何有效应对的指导。Chris主持每月一次的关于补丁星期二和安全漏洞的网络研讨会,并经常撰写关于安全主题的博客。你可以在著名的安全新闻来源如SC Magazine、Redmond Magazine、ComputerWorld、ThreatPost、Help Net Security等中找到Chris的署名和评论。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次