2025年7月安全更新综述
本月第二个星期二,Adobe和微软如期发布了最新的安全补丁。让我们暂停手头工作,详细了解这些最新安全警报的技术细节。
Adobe 2025年7月补丁
Adobe本月发布了13个安全公告,修复了60个独特CVE,涉及以下产品:
- Adobe ColdFusion
- After Effects
- Substance 3D Viewer
- Audition
- InCopy
- InDesign
- Connect
- Dimension
- Substance 3D Stager
- Illustrator
- FrameMaker
- Experience Manager Forms
- Experience Manager Screens
重点更新:
ColdFusion:这是唯一被列为优先级1的更新,修复了13个CVE,其中5个被评为严重级别。ColdFusion目前应被视为"遗留"产品,仍在使用的用户应考虑迁移到更现代的解决方案。
FrameMaker:修复了15个CVE,包括13个可导致代码执行的严重漏洞。
Illustrator:修复了10个漏洞,其中最严重的可导致代码执行。
其他更新:
- After Effects:修复2个重要级别漏洞
- Substance 3D Viewer:修复1个严重和2个重要漏洞
- Audition:修复1个拒绝服务漏洞
- InCopy:修复3个可导致代码执行的严重漏洞
- InDesign:修复6个类似的严重漏洞
- Connect:修复1个严重漏洞
- Experience Manager Forms:修复1个严重漏洞
- Substance 3D Stager:修复1个内存泄漏
- Dimension:修复1个内存泄漏和1个严重代码执行漏洞
- Experience Manager Screens:修复2个跨站脚本漏洞
Adobe本月修复的所有漏洞在发布时均未被列为公开已知或遭受主动攻击。除ColdFusion补丁外,所有更新均被列为部署优先级3。
微软2025年7月补丁
微软本月发布了130个新CVE,涉及:
- Windows及Windows组件
- Office及Office组件
- .NET和Visual Studio
- Azure
- Teams
- Hyper-V
- Windows BitLocker
- Microsoft Edge(基于Chromium)
- Windows加密服务
其中8个漏洞通过Trend ZDI项目报告。加上记录的第三方CVE,总计达到140个CVE。
在今日发布的补丁中,10个被评为严重级别,其余被评为重要级别。7月通常是补丁较多的月份,原因尚不明确,可能与8月初黑帽大会和DEFCON会议前的修复计划有关。
微软列出一个漏洞在发布时已公开已知,但没有漏洞被标记为遭受主动攻击。
重点漏洞分析:
CVE-2025-47981 - SPNEGO扩展协商安全机制远程代码执行漏洞
这是基于堆的缓冲区溢出漏洞,影响Windows SPNEGO扩展协商组件,允许远程未经身份验证的攻击者通过向受影响系统发送恶意消息来执行代码。由于无需用户交互且代码以提升的权限执行,此漏洞属于可蠕虫传播类别。微软给予其最高可利用性评级,预计30天内会出现攻击。务必快速测试并部署此补丁。
CVE-2025-49717 - Microsoft SQL Server远程代码执行漏洞
另一个基于堆的缓冲区溢出漏洞,攻击者可通过在受影响的SQL Server系统上执行恶意查询来实现代码执行,甚至可能逃脱SQL Server上下文在主机本身上执行代码。修复此漏洞并不简单,如果运行自己的应用程序,需要更新应用程序以使用Microsoft OLE DB Driver 18或19。
CVE-2025-49704 - Microsoft SharePoint远程代码执行漏洞
此漏洞源自Pwn2Own Berlin,被Viettel网络安全团队用作攻击链的一部分来利用SharePoint并赢得10万美元。该漏洞允许通过网络进行代码注入,单独使用时需要某种身份验证,但在比赛中团队将其与身份验证绕过漏洞配对使用。
CVE-2025-49695 - Microsoft Office远程代码执行漏洞
这是本次发布中四个严重级Office漏洞之一,所有漏洞都将预览窗格列为攻击向量。这是连续第三个月出现严重级Office漏洞,Mac用户暂时无法获得更新。
完整CVE列表
| CVE | 标题 | 严重性 | CVSS | 公开 | 已利用 | 类型 |
|---|---|---|---|---|---|---|
| CVE-2025-49719 † | Microsoft SQL Server信息泄露漏洞 | 重要 | 7.5 | 是 | 否 | 信息泄露 |
| CVE-2025-36350 * | AMD:CVE-2024-36350存储队列中的瞬态调度器攻击 | 严重 | 5.6 | 否 | 否 | RCE |
| CVE-2025-36357 * | AMD:CVE-2025-36357 L1数据队列中的瞬态调度器攻击 | 严重 | 5.6 | 否 | 否 | RCE |
| CVE-2025-49695 | Microsoft Office远程代码执行漏洞 | 严重 | 8.4 | 否 | 否 | RCE |
| …(完整表格内容)… |
*表示此CVE已由第三方发布,现包含在微软发布中 †表示需要进一步管理操作才能完全解决漏洞
其他技术细节
本月发布中还有三个其他严重级漏洞需要讨论。第一个在Hyper-V中,如果用户被诱骗导入INF文件,攻击者可在本地系统上执行代码。Windows KDC代理服务中的漏洞如果攻击者能够利用Kerberos密钥分发中心代理服务中的加密协议漏洞,可能允许代码执行。成像组件中存在严重级信息泄露漏洞,但仅泄露堆内存。
代码执行漏洞:
- Office中还存在其他代码执行漏洞
- RRAS服务中的漏洞 - 7月有14个
- MPEG2中的几个漏洞需要身份验证
- Intune中的SQL注入漏洞也需要身份验证
- SharePoint漏洞需要身份验证,但任何能够创建站点的人都具有所需权限
权限提升漏洞: 7月发布中有50多个权限提升漏洞,绝大多数导致SYSTEM级代码执行或管理员权限。Virtual Hard Disk和Fast FAT中的漏洞需要目标挂载虚拟驱动器。
安全功能绕过补丁: 本月发布中有五个BitLocker的安全功能绕过补丁,SmartScreen中的漏洞允许攻击者绕过SmartScreen保护。
信息泄露补丁: 7月发布包含相当多的信息泄露补丁,大多数在Windows存储管理提供程序中,仅导致未指定内存内容的信息泄露。
拒绝服务补丁: 本次发布中有五个拒绝服务漏洞补丁,但微软没有提供可操作的信息。
欺骗漏洞: SharePoint服务器中的漏洞允许通过欺骗经过身份验证的连接来绕过身份验证。远程桌面中的漏洞需要一些社会工程学。
最后一个7月补丁属于定义不清的"篡改"类别,在Windows StateRepository API服务器中,允许AppContainer逃逸以删除系统上的特定文件。
展望
2025年的下一个补丁星期二将在8月12日,届时将提供对该版本的分析和想法。在此之前,请保持安全,愉快地打补丁,愿所有重启都顺利无误!