2025年7月安全更新回顾
2025年7月8日 | Dustin Childs
本月第二个星期二,Adobe和微软如期发布了最新的安全补丁。让我们暂停手头工作,一起详细分析这些最新的安全警报。如果你想观看完整的视频回顾,可以点击这里查看。
Adobe 2025年7月补丁
7月份,Adobe最终发布了13个公告,修复了Adobe ColdFusion、After Effects、Substance 3D Viewer、Audition、InCopy、InDesign、Connect、Dimension、Substance 3D Stager、Illustrator、FrameMaker、Experience Manager Forms和Experience Manager Screens中的60个独特CVE。
首先要关注的是ColdFusion。这是唯一被列为优先级1的更新,修复了13个CVE,其中5个被评为严重。ColdFusion现在可能应该被视为"遗留"产品。如果你还在使用它,应该考虑迁移到更现代的解决方案。
FrameMaker的补丁也相当大。它修复了15个CVE,包括13个可能导致代码执行的严重漏洞。另一个两位数CVE的公告是针对Illustrator的,修复了10个漏洞,其中最严重的可能导致代码执行。
其余补丁规模较小:
- After Effects补丁修复了两个重要严重性漏洞
- Substance 3D Viewer修复了一个严重和两个重要漏洞
- Audition补丁修复了一个拒绝服务(DoS)漏洞
- InCopy更新包含三个可能导致代码执行的严重漏洞
- InDesign修复了六个类似的严重漏洞
- Connect补丁只有一个严重漏洞
- Experience Manager Forms补丁同样只有一个严重漏洞
- Substance 3D Stager修正了一个内存泄漏
- Dimension补丁包括一个内存泄漏修复和一个严重级别的代码执行漏洞
- Experience Manager Screens修复了两个跨站脚本(XSS)漏洞
Adobe本月修复的所有漏洞在发布时都没有被列为公开已知或正在被积极利用。除了ColdFusion补丁外,所有更新都被列为部署优先级3。
微软2025年7月补丁
本月,微软在Windows和Windows组件、Office和Office组件、.NET和Visual Studio、Azure、Teams、Hyper-V、Windows BitLocker、Microsoft Edge(基于Chromium)和Windows加密服务中发布了惊人的130个新CVE。其中8个漏洞是通过Trend ZDI项目报告的。加上记录的额外第三方CVE,总数达到140个CVE。
在今天发布的补丁中,10个被评为严重,其余被评为重要。7月通常是补丁较多的月份,原因尚不清楚。也许微软想在8月初的黑帽和DEFCON会议之前尽可能多地修补漏洞,或者这与他们的测试周期有关,只是巧合。
微软列出一个漏洞在发布时是公开已知的,但没有注明正在被积极利用。让我们仔细看看本月一些更有趣的更新,从一个很多人会讨论的漏洞开始:
值得关注的关键漏洞
CVE-2025-47981 - SPNEGO扩展协商(NEGOEX)安全机制远程代码执行漏洞 这个基于堆的缓冲区溢出影响Windows SPNEGO扩展协商组件,允许远程未经身份验证的攻击者只需向受影响系统发送恶意消息即可执行代码。由于没有用户交互,且代码以提升的权限执行,这个漏洞属于可蠕虫类漏洞。微软还给予其最高的可利用性指数评级,这意味着他们预计30天内会出现攻击。务必快速测试和部署这些补丁。
CVE-2025-49717 - Microsoft SQL Server远程代码执行漏洞 说到基于堆的缓冲区溢出,这是SQL Server中的一个漏洞,攻击者可以通过在受影响的SQL Server系统上执行恶意查询来导致代码执行。他们还可以逃脱SQL Server的上下文并在主机本身上执行代码。修复这个漏洞并不容易。如果你在受影响系统上运行自己的应用程序(或受影响的第三方应用程序),需要更新应用程序以使用Microsoft OLE DB Driver 18或19。公告中有完整细节,请仔细阅读以确保已采取所有必要步骤完全解决此漏洞。
CVE-2025-49704 - Microsoft SharePoint远程代码执行漏洞 这个漏洞源自Pwn2Own Berlin,被Viettel网络安全团队用作攻击链的一部分来利用SharePoint并赢得10万美元。这个特定的漏洞允许通过网络进行代码注入。单独使用时需要某种程度的身份验证。然而,在比赛中,团队将其与身份验证绕过漏洞配对以规避此要求。他们的演示表明,仅靠身份验证不能信任来防止攻击。
CVE-2025-49695 - Microsoft Office远程代码执行漏洞 这是本次发布中四个严重级Office漏洞之一,所有这些漏洞都将预览窗格列为攻击向量。这是连续第三个月出现严重级Office漏洞,这是一个令人不安的趋势。要么是发现了大量此类漏洞,要么是补丁很容易被绕过。无论如何,Mac用户都不走运,因为Microsoft Office LTSC for Mac 2021和2024的更新尚不可用。也许现在是考虑禁用预览窗格的时候了,直到微软解决其中一些问题。
微软2025年7月发布的完整CVE列表
| CVE | 标题 | 严重性 | CVSS | 公开 | 利用 | 类型 |
|---|---|---|---|---|---|---|
| CVE-2025-49719 † | Microsoft SQL Server信息泄露漏洞 | 重要 | 7.5 | 是 | 否 | 信息 |
| CVE-2025-36350 * | AMD: CVE-2024-36350存储队列中的瞬态调度器攻击 | 严重 | 5.6 | 否 | 否 | RCE |
| CVE-2025-36357 * | AMD: CVE-2025-36357 L1数据队列中的瞬态调度器攻击 | 严重 | 5.6 | 否 | 否 | RCE |
| CVE-2025-49695 | Microsoft Office远程代码执行漏洞 | 严重 | 8.4 | 否 | 否 | RCE |
| CVE-2025-49696 | Microsoft Office远程代码执行漏洞 | 严重 | 8.4 | 否 | 否 | RCE |
| CVE-2025-49697 | Microsoft Office远程代码执行漏洞 | 严重 | 8.4 | 否 | 否 | RCE |
| CVE-2025-49702 | Microsoft Office远程代码执行漏洞 | 严重 | 7.8 | 否 | 否 | RCE |
| CVE-2025-49704 | Microsoft SharePoint远程代码执行漏洞 | 严重 | 8.8 | 否 | 否 | RCE |
| CVE-2025-49717 † | Microsoft SQL Server远程代码执行漏洞 | 严重 | 8.5 | 否 | 否 | RCE |
| CVE-2025-47981 | SPNEGO扩展协商(NEGOEX)安全机制远程代码执行漏洞 | 严重 | 9.8 | 否 | 否 | RCE |
| CVE-2025-48822 | Windows Hyper-V离散设备分配(DDA)远程代码执行漏洞 | 严重 | 8.6 | 否 | 否 | RCE |
| CVE-2025-47980 | Windows映像组件信息泄露漏洞 | 严重 | 6.2 | 否 | 否 | 信息 |
| CVE-2025-49735 | Windows KDC代理服务(KPSSVC)远程代码执行漏洞 | 严重 | 8.1 | 否 | 否 | RCE |
(表格继续列出所有140个CVE,此处省略详细列表)
* 表示此CVE已由第三方发布,现在被纳入微软发布中。 † 表示需要进一步的管理操作来完全解决漏洞。
本月发布中只有另外三个严重级漏洞需要讨论。第一个在Hyper-V中,如果攻击者被诱骗导入INF文件,可能允许在本地系统上执行代码。Windows KDC代理服务中的漏洞如果攻击者能够利用Kerberos密钥分发中心代理服务中的加密协议漏洞,可能允许代码执行。虽然是一个诱人的目标,但对攻击者来说要求很高。最后,映像组件中有一个严重级信息泄露漏洞,但它只泄漏堆内存,所以不清楚为什么被列为严重。
查看剩余的代码执行漏洞,Office中还有额外的打开即攻击类漏洞,其中预览窗格不是攻击向量。还有我们每月一次的RRAS服务漏洞 - 7月有14个。MPEG2中有几个需要身份验证的漏洞。这也是Intune中SQL注入漏洞的要求。SharePoint漏洞也需要身份验证,但任何能够创建站点的人都具有所需权限。虚拟硬盘中的漏洞需要用户挂载特制的VHD,这似乎不太可能。RDP客户端中的漏洞需要连接到恶意的RDP服务器 - 另一个不太可能的情况。Windows服务器设置和启动事件收集中的漏洞需要高权限,但可用于在初始入侵后维持访问。说到不太可能,Miracast中的漏洞需要目标用户连接到恶意的Miracast接收器并具有非默认配置。Windows连接设备平台服务中的漏洞如果攻击者向受影响系统的TCP端口5040发送特制数据包,允许代码执行,但用户需要重新启动服务才能完成攻击。Visual Studio的Python组件中有一个漏洞,由于Python扩展允许未经授权的攻击者在本地执行代码。最后,Azure Monitor Agent中的漏洞允许未经授权的攻击者通过相邻网络执行代码。禁用自动扩展升级的用户需要手动更新代理。
7月发布中有50多个权限提升(EoP)漏洞。绝大多数这些漏洞如果经过身份验证的用户运行特制代码,会导致SYSTEM级代码执行或管理权限。虚拟硬盘和快速FAT中的漏洞需要目标挂载虚拟驱动器。有几个漏洞允许本地攻击者崩溃系统,可用作权限提升的一部分。其他漏洞根据产品提升到不同级别。Office中的EoP逃逸受保护的视图沙箱。基于虚拟化的安全中的漏洞允许攻击者获得虚拟信任级别1(VTL1)权限。输入法编辑器(IME)中的漏洞允许攻击者从低完整性升级到中完整性代码执行。通用打印管理服务中的漏洞有点不同。在这种情况下,经过身份验证的攻击者可以向共享打印机发送特制文件,导致在共享该打印机的系统上执行代码。最后,Azure Fabric Runtime中的漏洞导致SYSTEM,但攻击者需要一些额外步骤。如果你禁用了自动更新,还需要采取额外操作。需要手动更新服务器结构集群以获得保护。
转到本月发布中的安全功能绕过(SFB)补丁,五个是针对BitLocker的。场景不同,但都导致攻击者能够绕过BitLocker。SmartScreen中的漏洞允许攻击者绕过SmartScreen保护。虽然这个漏洞没有被积极利用,但我们在野外看到过类似漏洞被勒索软件使用。远程桌面许可中的漏洞需要中间人(MitM)攻击,但微软没有明确说明正在绕过哪个特定的安全功能。最后的SFB在Office开发平台中,允许攻击者绕过Office Visual Basic for Applications(VBA)签名方案。
7月发布包括相当多的信息泄露补丁。像往常一样,大多数这些都在Windows存储管理提供程序中,只导致由未指定内存内容组成的信息泄漏。在利用系统上的组件时,这些信息很有用,但 otherwise 并不十分引人注目。SQL Server中的漏洞也是如此。然而,与已经提到的SQL RCE漏洞类似,你可能需要手动更新到Microsoft OLE DB Driver 18或19。GDI中的漏洞可能允许泄漏难以捉摸的"敏感信息"。这比加密服务泄漏的内容更详细。微软简单地声明该漏洞允许"攻击者通过网络披露信息"。很好。
本次发布中有五个拒绝服务(DoS)漏洞补丁。然而,微软没有提供关于这些漏洞的可操作信息。相反,他们只是声明攻击者可能通过网络拒绝该组件的服务。唯一的例外是Windows性能记录器中的漏洞。此漏洞需要经过身份验证的攻击者创建目录,然后让管理员第一次运行wprui.exe。不知何故,我不认为这个漏洞会在野外被利用。
查看本月收到补丁的欺骗漏洞,第一个突出的是SharePoint服务器中的漏洞。这是允许Viettel在Pwn2Own中通过欺骗经过身份验证的连接来绕过身份验证的漏洞。远程桌面中的漏洞需要一些社会工程,因为它需要欺骗用户与欺骗的WebAuthn提示交互并输入其凭据。存储中的欺骗漏洞可能被攻击者用来欺骗用户连接到攻击者控制的网络资源。最后,SMB中的欺骗漏洞涉及不当的证书验证,这意味着证书可能通过网络被欺骗。
7月的最后一个补丁在定义不清的"篡改"类别中。它在Windows StateRepository API服务器中,允许AppContainer逃逸以删除系统上的特定文件。我想这是对篡改的足够好的定义。
本月没有发布新的公告。
展望未来
2025年的下一个补丁星期二将在8月12日,假设我能在黑客夏令营中幸存下来,我将在那时回来分析并思考发布内容。直到那时,保持安全,快乐打补丁,愿你所有的重启都顺利干净!