2025年3月补丁星期二:微软零日漏洞与安全更新深度解析

本文详细分析了2025年3月补丁星期二发布的安全更新,涵盖微软、谷歌和Adobe的57个CVE修复,重点解读7个已知被利用的零日漏洞及其影响范围,包括Windows系统组件和第三方软件的安全风险。

2025年3月补丁星期二

最后更新:2025年3月11日

Chris Goettl

补丁管理 | 补丁星期二 | 安全

在美国中西部,我们有一句关于三月的谚语:“进如狮,出如羊”。这指的是月初冬季天气强劲,随着月份推移逐渐减弱。事实上,我们刚刚经历了一场暴风雪,一夜之间大部分地区降雪达9-12英寸,但一周后我看到草地和晴朗的天空,已经脱下了冬衣!

乍看之下,三月的补丁星期二看起来像一只温顺的羊,但这只羊可能有着狮子的利齿。标准系列的更新解决了Windows操作系统、Office、.Net和Visual Studio中的57个CVE,其中还包含几个Azure组件更新。谷歌Chrome在补丁星期二之前(3月10日更新)进行了更新,Adobe发布了七个更新,包括Adobe Acrobat和Acrobat Reader。

现在让我们谈谈利齿。三月的更新系列中有七个已知被利用的CVE。

微软解决了六个已知被利用的CVE。这些零日漏洞影响Microsoft Management Console、NTFS、Fast FAT和Win32 Kernel Subsystem。所有六个漏洞都被评为"重要",CVSS分数范围从4.6到7.8。好消息是,所有六个漏洞都通过三月的Windows操作系统更新得到解决,因此大部分即时风险通过这一个更新得到解决。

谷歌解决了一个已知被利用的CVE(CVE-2025-24201),根据谷歌的发布说明,这是Mac上GPU的一个越界写入漏洞,由苹果安全工程与架构(SEAR)团队报告——因此可能只对Mac用户构成关注。(根据微软的发布说明,Edge似乎没有在3月10日的发布中解决这五个CVE。)

微软被利用的漏洞

微软解决了Microsoft Management Console中的一个安全功能绕过漏洞(CVE-2025-26633)。该漏洞被评为"重要",CVSSv3.1得分为7.0。该漏洞影响从Windows 10到11以及Server 2008到Server 2025的所有Windows版本。微软已确认此CVE在野外被利用。攻击者需要采取额外行动来准备目标环境进行利用,但该漏洞允许各种针对用户的战术进行利用,包括即时消息、电子邮件和基于Web的攻击场景。基于风险的优先级排序要求将此漏洞视为"严重"。

微软解决了Windows NTFS中的一个远程代码执行漏洞(CVE-2025-24993)。该漏洞被评为"重要",CVSSv3.1得分为7.8。该漏洞影响从Windows 10到11以及Server 2008到Server 2025的所有Windows版本。微软已确认此CVE在野外被利用。基于风险的优先级排序要求将此漏洞视为"严重"。

微软解决了Windows NTFS中的一个信息泄露漏洞(CVE-2025-24991)。该漏洞被评为"重要",CVSSv3.1得分为5.5。该漏洞影响从Windows 10到11以及Server 2008到Server 2025的所有Windows版本。微软已确认此CVE在野外被利用。基于风险的优先级排序要求将此漏洞视为"严重"。

微软解决了Windows Fast FAT文件系统驱动程序中的一个远程代码执行漏洞(CVE-2025-24985)。该漏洞被评为"重要",CVSSv3.1得分为7.8。该漏洞影响从Windows 10到11以及Server 2008到Server 2025的所有Windows版本。微软已确认此CVE在野外被利用。基于风险的优先级排序要求将此漏洞视为"严重"。

微软解决了Windows NTFS中的一个信息泄露漏洞(CVE-2025-24984)。该漏洞被评为"重要",CVSSv3.1得分为4.6。该漏洞影响从Windows 10到11以及Server 2008到Server 2025的所有Windows版本。微软已确认此CVE在野外被利用。基于风险的优先级排序要求将此漏洞视为"严重"。

微软解决了Windows Win32 Kernel Subsystem中的一个权限提升漏洞(CVE-2025-24983)。该漏洞被评为"重要",CVSSv3.1得分为7.0。该漏洞影响较旧的Windows版本,包括Windows 10和Server 2008到Server 2016。微软已确认此CVE在野外被利用。如果被利用,攻击者可以获得SYSTEM级权限。基于风险的优先级排序要求将此漏洞视为"严重"。

微软公开披露的漏洞

微软解决了Microsoft Access中的一个远程代码执行漏洞(CVE-2025-26630)。该漏洞被评为"重要",CVSSv3.1得分为7.8。该漏洞影响Microsoft Access 2016、Office 2019、Office LTSC 2021和2024,以及Microsoft 365 Apps for Enterprise。微软已确认此CVE已被公开披露,但代码成熟度被设置为未经验证。披露可能为攻击者提供一些额外信息来制定利用方案,但缺乏代码样本将增加他们的努力。基于风险的优先级排序表明,对于没有功能代码的披露,风险略高,但不足以将此CVE提升至"严重"。

第三方漏洞

谷歌Chrome于3月10日发布更新,解决了五个CVE,包括一个已知被利用的CVE(CVE-2025-24201)。该漏洞被记录为Mac上GPU的越界写入。对于此更新,macOS的优先级高于Windows。

Adobe发布了七个更新,解决了37个CVE。这些更新影响Adobe Acrobat和Reader、Illustrator、InDesign、Substance 3D Sampler、Painter、Modeler和Designer。所有七个更新都被评为优先级三,可以在您的月度更新活动中处理。

Ivanti安全公告

Ivanti为三月的补丁星期二发布了两个更新,总共解决了两个CVE。受影响的产品是Ivanti Secure Access Client(ISAC)和Ivanti Neurons for MDM(N-MDM)。有关更多详细信息,您可以在Ivanti博客上的三月安全更新中查看提供的信息和更新。

三月更新优先级

Windows操作系统更新是本月的最高优先级更新,解决了六个已知被利用的CVE。 3月10日的谷歌Chrome更新解决了macOS上一个已知被利用的漏洞,使macOS Chrome更新成为优先事项。

关于Chris Goettl

Chris Goettl是Ivanti安全产品的副总裁,拥有超过15年的IT经验,他支持并为Ivanti客户实施安全解决方案,并指导Ivanti安全产品的安全策略和愿景。他还是一名安全布道者,在全球安全活动中发表演讲,就现代网络威胁以及如何有效应对提供指导。Chris主持每月一次的关于补丁星期二和安全漏洞的网络研讨会,并经常就安全主题撰写博客。您可以在著名的安全新闻来源如SC Magazine、Redmond Magazine、ComputerWorld、ThreatPost、Help Net Security等中找到Chris的署名和评论。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次