2025年4月补丁星期二

4月补丁星期二看似修复了大量CVE，但高优先级风险数量较少。微软本月修复了121个新CVE漏洞，其中11个被评为严重级别，1个已被积极利用。本月的零日漏洞出现在Windows操作系统中，这应成为您的首要处理任务。

此外，Adobe发布了12个更新，修复了54个CVE。Adobe ColdFusion被评级最高（优先级1），修复了15个CVE。Adobe Commerce和Experience Manager Forms被评为优先级2，分别修复了5个和2个CVE。Adobe其余产品均为优先级3。

请更新您的浏览器！谷歌Chrome在本补丁星期二更新修复了另外两个CVE。4月1日，Mozilla Firefox和谷歌Chrome都进行了更新：Firefox修复了8个CVE，Chrome修复了13个CVE。微软Edge（Chromium）于4月3日响应Chrome更新发布了补丁，这意味着本周晚些时候还将有一次Edge更新。

Oracle计划于4月15日发布季度CPU更新，请密切关注Oracle更新（包括Java），这将引发连锁反应，各种Java替代框架都将在4月底至5月初发布更新。

微软已利用漏洞

微软修复了Windows通用日志文件系统驱动程序中的一个权限提升漏洞（CVE-2025-29824），攻击者可利用此漏洞在受影响系统上获取SYSTEM权限。该漏洞影响所有Windows操作系统版本，已被确认在野利用。微软将其严重性评级为"重要"，CVSS 3.1评分为7.8。基于风险的优先级评估应将该漏洞视为严重级别处理。

第三方漏洞

• Adobe为大部分创意套件发布了更新，包括After Effects、Animate、Bridge、Illustrator、Media Encoder、Photoshop和Premiere Pro
• 谷歌Chrome发布更新修复了两个CVE。预计Edge将在本周晚些时候发布更新
• Oracle季度CPU计划于2025年4月15日发布。预计将有多款Oracle产品更新，此次发布还将引发所有Java框架的连锁更新，包括RedHat OpenJDK、Amazon Corretto、Azul Zulu、Eclipse Adoptium、Adopt OpenJDK等

Ivanti安全公告

Ivanti为4月补丁星期二发布了一个更新，共修复了6个CVE。受影响产品包括Ivanti EPM 2022和EPM 2024。更多详细信息请查看Ivanti博客上的4月安全更新。

4月更新优先级

1. Windows操作系统是本月最高优先级，包含唯一报告的零日漏洞利用（CVE-2025-29824）
2. 更新所有浏览器！上周Mozilla、Chrome和Edge都收到了更新，补丁星期二还发布了额外的Chrome更新。如果尚未这样做，应考虑将浏览器更新调整为每周频率以减少暴露时间，因为Chrome和Edge将每周更新，Firefox通常每月有2-3次更新
3. 预计4月15日将有Oracle更新，并在接下来几周内陆续发布Java框架的额外更新

关于Chris Goettl：Chris Goettl是Ivanti安全产品副总裁，拥有超过15年IT行业经验，为Ivanti客户提供安全解决方案支持并指导Ivanti安全产品的战略规划。他是全球安全会议上的知名演讲者，主持每月关于补丁星期二和安全漏洞的网络研讨会，并经常撰写安全主题博客文章。