2025年8月安全更新回顾
我们已经度过了黑客夏令营,迎来了本月的第二个星期二。Adobe和微软似乎也顺利度过了这一时期,发布了最新的安全补丁。让我们暂停手头的计划活动,一起详细了解他们最新的安全警报。如果你想观看涵盖整个发布的完整视频回顾,可以点击这里查看。
Adobe 2025年8月补丁
8月份,Adobe发布了13个公告,修复了Commerce、Substance 3D Viewer、Animate、Illustrator、Photoshop、Substance 3D Modeler、Substance 3D Painter、Substance 3D Sampler、InDesign、InCopy、Substance 3D Stager、FrameMaker和Dimension中的68个独特CVE。
如果你需要确定优先级,请从Commerce的更新开始,该更新修复了6个错误,被列为优先级2。InCopy的补丁中有8个错误,全部被评为严重级别并导致代码执行。InDesign的补丁相当大,解决了14个不同的CVE,其中12个是严重级别。Substance 3D Modeler的修复也很大,有13个CVE,但其中大多数被评为重要级别。Substance 3D Painter的修复情况类似,在修复的9个CVE中,只有一个是严重级别。Substance 3D Stager的补丁中还有一个严重修复,总共修复了两个错误。Substance 3D Sampler的补丁修复了一个重要的CVE。Substance 3D系列的修复还包括Substance 3D Viewer的两个严重CVE。
Animate的修复解决了两个错误,其中一个是严重级别。Illustrator的补丁包含四个修复,其中两个错误导致任意代码执行。Photoshop的单个修复也解决了一个可能导致代码执行的错误。这些都是典型的"打开即控制"漏洞利用。FrameMaker的补丁包含对五个CVE的修复。Adobe本月的最后一个补丁修复了Dimension中的一个重要级别错误。
Adobe本月修复的所有错误在发布时都没有被列为公开已知或正在被主动攻击。除了Commerce的补丁外,所有更新都被列为部署优先级3。
微软2025年8月补丁
本月,微软在Windows和Windows组件、Office和Office组件、Microsoft Edge(基于Chromium)、Azure、GitHub Copilot、Dynamics 365、SQL Server和Hyper-V Server中发布了高达107个新CVE。其中7个错误是通过Trend ZDI项目提交的。
在今天发布的补丁中,12个被评为严重,1个被评为中等,1个被评为低,其余在严重性上被评为重要。这使得微软在数量上略超过去年同期。事实上,今年是自2020年以来雷德蒙德发布修复程序数量最多的一年,尽管不太可能超过该总数。
微软列出了一个在发布时公开已知的错误,但没有注明任何正在被主动攻击。让我们仔细看看本月一些更有趣的更新,从一个被评为CVSS 9.8的错误开始:
-
CVE-2025-53766 - GDI+ 远程代码执行漏洞 如前所述,这个错误是CVSS 9.8,因为它允许仅通过浏览恶意网页就执行代码。攻击者还可以将特制的元文件嵌入文档中,并让目标打开该文件。最坏的情况是攻击者通过广告网络上传某些内容并分发给用户。广告拦截器不仅仅是为了消除烦扰;它们还可以防范恶意广告。这种情况很少见,但过去确实发生过。由于GDI+涉及许多不同的组件(而且用户倾向于点击任何内容),请快速测试并部署此补丁。
-
CVE-2025-50165 - Windows图形组件远程代码执行漏洞 说到"浏览即控制",这个错误也正好允许这一点。评级为CVSS 9.8,通过查看特制图像可能导致代码执行。“浏览即控制"错误总是引起研究人员的关注,因此即使这被列为"利用可能性较小”,我也会将其视为部署的关键补丁。
-
CVE-2025-53731/CVE-2025-53740 - Microsoft Office远程代码执行漏洞 这是连续第七个月至少有一个Office组件允许通过预览窗格执行代码。由于影响了许多不同的组件,我怀疑这些都是补丁绕过。相反,攻击者似乎在挖掘那些没有被仔细查看的代码并发现了一些珍宝。也许在雷德蒙德的安全人员解决这个问题时,考虑暂时禁用预览窗格是时候了。
-
CVE-2025-49712 - Microsoft SharePoint远程代码执行漏洞 在过去的一个月里,SharePoint绝对是一个热门话题,漏洞利用攻击了几个美国政府目标。虽然这个错误没有被列为正在被主动攻击,但它是现有漏洞利用第二阶段使用的同类错误。第一阶段是身份验证绕过,因为此漏洞确实需要身份验证。然而,有几个身份验证绕过是公开已知的(并且已修补)。请确保你所有的SharePoint补丁都是最新的,并重新考虑是否让它们可以互联网访问。
以下是微软2025年8月发布的CVE完整列表:
| CVE | 标题 | 严重性 | CVSS | 公开 | 被利用 | 类型 |
|---|---|---|---|---|---|---|
| CVE-2025-53779 | Windows Kerberos 权限提升漏洞 | 中等 | 7.2 | 是 | 否 | EoP |
| CVE-2025-50176 | DirectX 图形内核远程代码执行漏洞 | 严重 | 7.8 | 否 | 否 | RCE |
| CVE-2025-53766 | GDI+ 远程代码执行漏洞 | 严重 | 9.8 | 否 | 否 | RCE |
| CVE-2025-50177 | Microsoft消息队列(MSMQ)远程代码执行漏洞 | 严重 | 8.1 | 否 | 否 | RCE |
| CVE-2025-53731 | Microsoft Office 远程代码执行漏洞 | 严重 | 8.4 | 否 | 否 | RCE |
| CVE-2025-53740 | Microsoft Office 远程代码执行漏洞 | 严重 | 8.4 | 否 | 否 | RCE |
| CVE-2025-53733 | Microsoft Word 远程代码执行漏洞 | 严重 | 8.4 | 否 | 否 | RCE |
| CVE-2025-53784 | Microsoft Word 远程代码执行漏洞 | 严重 | 8.4 | 否 | 否 | RCE |
| CVE-2025-53781 | Windows Hyper-V 信息泄露漏洞 | 严重 | 7.7 | 否 | 否 | Info |
| CVE-2025-49707 | Windows Hyper-V 欺骗漏洞 | 严重 | 7.9 | 否 | 否 | Spoofing |
| CVE-2025-48807 | Windows Hyper-V 远程代码执行漏洞 | 严重 | 7.5 | 否 | 否 | RCE |
| CVE-2025-53778 | Windows NTLM 权限提升漏洞 | 严重 | 8.8 | 否 | 否 | EoP |
| CVE-2025-53793 | Azure Stack Hub 信息泄露漏洞 | 严重 | 7.5 | 否 | 否 | Info |
(表格继续列出所有107个CVE…)
† 表示需要进一步的管理操作才能完全解决该漏洞。
查看其余严重补丁,有两个用于Word的补丁也将预览窗格作为攻击向量。Hyper-V中有三个严重错误。一个可能泄露一直神秘的"敏感信息",而另一个允许VM在与外部系统的通信中欺骗其身份。另一个允许从客户机在管理程序上执行代码。Azure Stack中的错误也允许攻击者通过网络泄露信息。DirectX图形内核中有一个多汁的代码执行错误,但它确实需要身份验证。NLTM中的错误是一个有趣的案例。它允许经过身份验证的攻击者通过网络提升权限。我们习惯于只将这些视为本地漏洞利用。最后,Windows消息队列(MSMQ)组件中存在一个释放后使用错误。在这种情况下,攻击者需要通过HTTP向受影响的服务快速发送一系列特制的MSMQ数据包。攻击者仍然需要赢得竞争条件,但我们已经看到很多竞争条件错误赢得了Pwn2Own,所以不要仅仅依赖这一点。
包括已经讨论过的那些,本月有超过30个代码执行错误收到修复。重要级别的Office组件没有将预览窗格作为攻击向量,属于"打开即控制"类型。还有本月的RRAS修复系列。我仍在等待这些在野外被利用,但我并不抱太大希望。MSMQ中还有三个额外的错误。它们的描述似乎与已经讨论过的严重级别错误相同,所以不清楚为什么这些只被列为重要级别。如果你正在运行Web Deploy (msdeploy),你肯定希望快速测试和部署补丁。未经身份验证的攻击者只需向受影响的服务发送特制请求即可获得代码执行。SMB错误需要用户启动与SMB服务器的连接——通常通过点击电子邮件中的链接。Teams中的错误是通过ZDI提交的。该错误存在于实时媒体管理器中。该问题源于缺乏对用户提供数据的适当验证,这可能导致在写入内存之前发生整数下溢。Desktop Windows Manager中的错误需要身份验证,读起来更像LPE。最后的代码执行错误是GitHub Copilot和Visual Studio中的AI错误。它确实需要用户触发有效负载,因此会涉及某种形式的社会工程。尽管如此——AI错误——哇哦!
7月发布中有40多个权限提升(EoP)错误。幸运的是,如果经过身份验证的用户运行特制代码,这些错误大多数会导致SYSTEM级代码执行或管理权限。SQL Server中的错误允许攻击者获得sysadmin权限。这些错误在修补时也需要特别注意,因此请密切关注版本号以确保得到完全保护。Hyper-V中有一个错误可能允许攻击者在本地系统的安全上下文中覆盖任意文件内容。SharePoint漏洞将允许攻击者获得被入侵用户的权限。Push Notifications中的四个错误允许沙箱逃逸。Connected Devices Platform Service中的漏洞允许某人从中等完整性级别提升到本地服务。Desktop Windows Manager中的错误仅说明攻击者可能获得对"系统资源"的访问权限,导致进一步危害。StateRepository API Server文件中的EoP可能导致访问运行受影响应用程序的用户的权限。最后,如果你是Exchange管理员,你面前还有一些工作要做。微软在4月发布了一个热修复,并正在使该更改更加正式。你需要应用热修复并在Exchange Server和混合环境中实施更改。Dominus tecum。
8月发布包含十几个信息泄露补丁。正如预期的那样,大多数这些补丁只导致未指定的内存内容或内存地址的信息泄露。在利用系统上的组件时,这些信息很有用,但 otherwise 并不十分引人入胜。有一些例外。Exchange中的信息泄露错误允许攻击者确定电子邮件地址是否有效。MSDTC和Dynamics 365中的错误可能泄露短暂的"敏感信息"。Azure中的一个错误被列为公开,可能泄露部署API和系统内部配置。Azure Stack Hub中的错误更严重,因为它可能在日志中泄露管理员帐户密码。
此版本中只有四个拒绝服务(DoS)错误的补丁。然而,微软没有提供关于这些错误可操作的信息。相反,他们只是说明攻击者可能拒绝对该组件的网络服务。唯一的例外是Hyper-V中的错误。在这种情况下,低权限客户机VM可能拒绝Hyper-V主机环境上的服务。
继续看本月发布中的欺骗错误,远程桌面中的错误表现为授权绕过。除了需要用户交互之外,关于文件资源管理器错误的信息不太清楚。安全应用程序中的错误也没有明确信息,但可以假设攻击者可能绕过安全应用程序保护。Exchange中的欺骗错误更清晰一些。这些漏洞允许攻击者欺骗显示给用户的"5322.From"电子邮件地址——这是社会工程的一个方便技巧。最后,Edge中的欺骗错误将允许流量重定向。
Microsoft Exchange中有一个篡改错误,但微软提供的唯一信息是"授权攻击者可以通过网络执行篡改"。我猜这意味着他们可以搞乱人们的收件箱和/或日历,但谁知道呢。8月发布最后是Dynamics 365中的一个跨站脚本(XSS)错误。
本月没有发布新的公告。
展望未来
2025年的下一个补丁星期二将在9月9日,届时我将回来分析并分享我对该发布的看法。在那之前,保持安全,快乐打补丁,愿你所有的重启都顺利干净!