2025年3月补丁星期二:微软、谷歌与Adobe关键漏洞修复指南

本文详细分析了2025年3月补丁星期二发布的多个安全更新,包括微软修复的6个已知被利用漏洞、谷歌Chrome的GPU漏洞以及Adobe的37个CVE修复,为系统管理员提供关键修复优先级指导。

2025年3月补丁星期二

最后更新:2025年3月11日

作者:Chris Goettl

标签:补丁管理、补丁星期二、安全

在美国中西部,我们有一句关于三月的谚语:“进如狮,出如羊”。这指的是月初冬季天气强劲,但随着月份推移逐渐减弱。事实上,我们刚刚经历了一场暴风雪,一夜之间大部分地区降雪达9-12英寸,但一周后我看到草地和晴朗的天空,已经脱下了冬衣!

乍看之下,三月的补丁星期二像一只温顺的羊,但这只羊可能长着狮子的牙齿。标准更新阵容解决了Windows操作系统、Office、.Net和Visual Studio的57个CVE,其中还包含几个Azure组件更新。谷歌Chrome在补丁星期二前更新(3月10日更新),Adobe发布了七个更新,包括Adobe Acrobat和Acrobat Reader。

现在让我们谈谈“牙齿”。三月的阵容中有七个已知被利用的CVE。

微软解决了六个已知被利用的CVE。这些零日漏洞影响Microsoft Management Console、NTFS、Fast FAT和Win32 Kernel Subsystem。所有六个漏洞都被评为“重要”,CVSS分数从4.6到7.8不等。好消息是,所有六个漏洞都通过三月的Windows操作系统更新解决,因此大部分即时风险通过这一个更新得到解决。

谷歌解决了一个已知被利用的CVE(CVE-2025-24201),根据谷歌的发布说明,这是Mac上GPU的一个越界写入漏洞,由苹果安全工程与架构(SEAR)团队报告——因此可能只对Mac用户构成关注。(根据微软的发布说明,Edge似乎尚未在3月10日发布中解决这五个CVE。)

微软被利用的漏洞

微软解决了Microsoft Management Console中的一个安全功能绕过漏洞(CVE-2025-26633)。该漏洞被评为“重要”,CVSSv3.1分数为7.0。该漏洞影响从Windows 10到11以及Server 2008到Server 2025的所有Windows版本。微软已确认此CVE在野外被利用。攻击者需要采取额外行动来准备目标环境进行利用,但该漏洞允许利用多种用户定向策略,包括即时消息、电子邮件和基于Web的攻击场景。基于风险的优先级排序要求将此漏洞视为“严重”。

微软解决了Windows NTFS中的一个远程代码执行漏洞(CVE-2025-24993)。该漏洞被评为“重要”,CVSSv3.1分数为7.8。该漏洞影响从Windows 10到11以及Server 2008到Server 2025的所有Windows版本。微软已确认此CVE在野外被利用。基于风险的优先级排序要求将此漏洞视为“严重”。

微软解决了Windows NTFS中的一个信息泄露漏洞(CVE-2025-24991)。该漏洞被评为“重要”,CVSSv3.1分数为5.5。该漏洞影响从Windows 10到11以及Server 2008到Server 2025的所有Windows版本。微软已确认此CVE在野外被利用。基于风险的优先级排序要求将此漏洞视为“严重”。

微软解决了Windows Fast FAT文件系统驱动程序中的一个远程代码执行漏洞(CVE-2025-24985)。该漏洞被评为“重要”,CVSSv3.1分数为7.8。该漏洞影响从Windows 10到11以及Server 2008到Server 2025的所有Windows版本。微软已确认此CVE在野外被利用。基于风险的优先级排序要求将此漏洞视为“严重”。

微软解决了Windows NTFS中的一个信息泄露漏洞(CVE-2025-24984)。该漏洞被评为“重要”,CVSSv3.1分数为4.6。该漏洞影响从Windows 10到11以及Server 2008到Server 2025的所有Windows版本。微软已确认此CVE在野外被利用。基于风险的优先级排序要求将此漏洞视为“严重”。

微软解决了Windows Win32 Kernel Subsystem中的一个权限提升漏洞(CVE-2025-24983)。该漏洞被评为“重要”,CVSSv3.1分数为7.0。该漏洞影响较旧的Windows版本,包括Windows 10和Server 2008到Server 2016。微软已确认此CVE在野外被利用。如果被利用,攻击者可以获得SYSTEM级权限。基于风险的优先级排序要求将此漏洞视为“严重”。

微软公开披露的漏洞

微软解决了Microsoft Access中的一个远程代码执行漏洞(CVE-2025-26630)。该漏洞被评为“重要”,CVSSv3.1分数为7.8。该漏洞影响Microsoft Access 2016、Office 2019、Office LTSC 2021和2024,以及Microsoft 365 Apps for Enterprise。微软已确认此CVE已被公开披露,但代码成熟度设置为未经验证。披露可能为攻击者提供一些额外信息来制定利用方案,但缺乏代码样本将增加他们的努力。基于风险的优先级排序表明,对于没有功能代码的披露,风险略高,但不足以将此CVE提升至“严重”。

第三方漏洞

谷歌Chrome于3月10日发布更新,解决了五个CVE,包括一个已知被利用的CVE(CVE-2025-24201)。该漏洞被记录为Mac上GPU的一个越界写入。对于此更新,macOS的优先级高于Windows。

Adobe发布了七个更新,解决了37个CVE。更新影响Adobe Acrobat和Reader、Illustrator、InDesign、Substance 3D Sampler、Painter、Modeler和Designer。所有七个更新都被评为优先级三,可以在月度更新活动中处理。

Ivanti安全公告

Ivanti为三月的补丁星期二发布了两个更新,共解决了两个CVE。受影响的产品是Ivanti Secure Access Client(ISAC)和Ivanti Neurons for MDM(N-MDM)。更多详情,您可以在Ivanti博客的三月安全更新中查看更新和提供的信息。

三月更新优先级

  • Windows操作系统更新是本月的最高优先级更新,解决了六个已知被利用的CVE。
  • 3月10日的谷歌Chrome更新解决了macOS上的一个已知被利用漏洞,使macOS Chrome更新成为优先级。

关于Chris Goettl

Chris Goettl是Ivanti安全产品的产品管理副总裁。Chris在IT领域拥有超过15年的经验,他为Ivanti客户支持和实施安全解决方案,并指导Ivanti安全产品的安全策略和愿景。他还是一名安全布道者,在全球安全活动中发表演讲,就现代网络威胁以及如何有效应对提供指导。Chris主持每月一次的关于补丁星期二和安全漏洞的网络研讨会,并经常撰写关于安全主题的博客。您可以在著名的安全新闻来源如SC Magazine、Redmond Magazine、ComputerWorld、ThreatPost、Help Net Security等中找到Chris的署名和评论。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次