2025年3月补丁星期二:微软、谷歌和Adobe关键漏洞修复详解

本文详细分析了2025年3月补丁星期二发布的多个关键安全更新,包括微软修复的6个已知被利用漏洞、谷歌Chrome的GPU漏洞以及Adobe的37个CVE修复,为企业安全团队提供优先级指导。

2025年3月补丁星期二

在美国中西部,我们有一句关于三月的谚语:“进如狮子,出如羔羊”。这指的是这个月以强烈的冬季天气开始,随着月份的推移逐渐减弱。事实上,我们刚刚经历了一场暴风雪,一夜之间大部分地区降雪达9-12英寸,但一周后我看到草地和晴朗的天空,已经脱掉了冬衣!

乍一看,三月的补丁星期二看起来像一只羔羊,但这只羔羊可能有狮子的牙齿。标准系列的更新解决了Windows操作系统、Office、.Net和Visual Studio中的57个CVE,其中还包含几个Azure组件更新。谷歌Chrome在补丁星期二之前进行了更新(3月10日更新),Adobe发布了七个更新,包括Adobe Acrobat和Acrobat Reader。

现在让我们谈谈牙齿。三月的系列更新中有七个已知被利用的CVE。

微软解决了六个已知被利用的CVE。这些零日漏洞影响Microsoft Management Console、NTFS、Fast FAT和Win32 Kernel Subsystem。所有六个漏洞都被评为重要级别,CVSS分数从4.6到7.8不等。好消息是,所有六个漏洞都通过三月的Windows操作系统更新得到解决,因此大部分即时风险通过这一个更新得到解决。

谷歌解决了一个已知被利用的CVE(CVE-2025-24201),根据谷歌的发布说明,这是Mac上GPU的一个越界写入漏洞,由Apple安全工程与架构(SEAR)团队报告——因此可能只对Mac用户构成关注。(根据微软的发布说明,看起来Edge在3月10日的发布中没有解决这五个CVE。)

微软被利用的漏洞

微软解决了Microsoft Management Console中的一个安全功能绕过漏洞(CVE-2025-26633)。该漏洞被评为重要级别,CVSSv3.1分数为7.0。该漏洞影响从Windows 10到11以及Server 2008到Server 2025的所有Windows版本。微软已确认此CVE在野外被利用。攻击者需要采取额外行动来准备目标环境进行利用,但该漏洞允许利用各种用户定向策略,包括即时消息、电子邮件和基于Web的攻击场景。基于风险的优先级排序要求将此漏洞视为严重。

微软解决了Windows NTFS中的一个远程代码执行漏洞(CVE-2025-24993)。该漏洞被评为重要级别,CVSSv3.1分数为7.8。该漏洞影响从Windows 10到11以及Server 2008到Server 2025的所有Windows版本。微软已确认此CVE在野外被利用。基于风险的优先级排序要求将此漏洞视为严重。

微软解决了Windows NTFS中的一个信息泄露漏洞(CVE-2025-24991)。该漏洞被评为重要级别,CVSSv3.1分数为5.5。该漏洞影响从Windows 10到11以及Server 2008到Server 2025的所有Windows版本。微软已确认此CVE在野外被利用。基于风险的优先级排序要求将此漏洞视为严重。

微软解决了Windows Fast FAT文件系统驱动程序中的一个远程代码执行漏洞(CVE-2025-24985)。该漏洞被评为重要级别,CVSSv3.1分数为7.8。该漏洞影响从Windows 10到11以及Server 2008到Server 2025的所有Windows版本。微软已确认此CVE在野外被利用。基于风险的优先级排序要求将此漏洞视为严重。

微软解决了Windows NTFS中的一个信息泄露漏洞(CVE-2025-24984)。该漏洞被评为重要级别,CVSSv3.1分数为4.6。该漏洞影响从Windows 10到11以及Server 2008到Server 2025的所有Windows版本。微软已确认此CVE在野外被利用。基于风险的优先级排序要求将此漏洞视为严重。

微软解决了Windows Win32 Kernel Subsystem中的一个权限提升漏洞(CVE-2025-24983)。该漏洞被评为重要级别,CVSSv3.1分数为7.0。该漏洞影响较旧的Windows版本,包括Windows 10和Server 2008到Server 2016。微软已确认此CVE在野外被利用。如果被利用,攻击者可以获得SYSTEM级权限。基于风险的优先级排序要求将此漏洞视为严重。

微软公开披露的漏洞

微软解决了Microsoft Access中的一个远程代码执行漏洞(CVE-2025-26630)。该漏洞被评为重要级别,CVSSv3.1分数为7.8。该漏洞影响Microsoft Access 2016、Office 2019、Office LTSC 2021和2024,以及Microsoft 365 Apps for Enterprise。微软已确认此CVE已被公开披露,但代码成熟度被设置为未经验证。披露可能为攻击者提供一些额外信息来制定利用方法,但缺乏代码样本将增加他们的努力。基于风险的优先级排序表明,对于没有功能代码的披露,风险略高,但不足以将此CVE提升到严重级别。

第三方漏洞

谷歌Chrome于3月10日发布更新,解决了五个CVE,包括一个已知被利用的CVE(CVE-2025-24201)。该漏洞被记录为Mac上GPU的一个越界写入。对于此更新,macOS的优先级高于Windows。

Adobe发布了七个更新,解决了37个CVE。这些更新影响Adobe Acrobat和Reader、Illustrator、InDesign、Substance 3D Sampler、Painter、Modeler和Designer。所有七个更新都被评为优先级三,可以在您的月度更新活动中处理。

Ivanti安全公告

Ivanti为三月的补丁星期二发布了两个更新,总共解决了两个CVE。受影响的产品是Ivanti Secure Access Client(ISAC)和Ivanti Neurons for MDM(N-MDM)。有关更多详细信息,您可以在Ivanti博客上的三月安全更新中查看提供的信息和更新。

三月更新优先级

Windows操作系统更新是本月的最高优先级更新,解决了六个已知被利用的CVE。 3月10日的谷歌Chrome更新解决了macOS上的一个已知被利用漏洞,使macOS Chrome更新成为优先事项。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次