2025年8月补丁星期二安全更新详解

关键要点

微软解决了107个新CVE漏洞，包括一个公开披露的漏洞。微软评定了13个关键CVE（九个远程代码执行、三个信息泄露、一个权限提升），影响Windows操作系统、Office、Azure Stack Hub和Azure虚拟机。

微软更新的最高优先级是SharePoint。7月份发现的SharePoint漏洞近期被利用的风险仍在持续，应尽快解决。CISA和微软在MSRC博客中已发布多个更新。

微软解决了Windows Kerberos中一个公开披露的漏洞（CVE-2025-53779）。该CVE是一个权限提升漏洞，可能允许攻击者获得域管理员权限。该CVE评级为中等，CVSS评分为7.2。此漏洞仅影响Windows Server 2025。

Microsoft SQL Server和Exchange Server各解决了五个CVE。这两个更新的最高CVE评级均为"重要"。

8月5日发布的紧急Adobe更新解决了两个公开披露的CVE（CVE-2025-54253和CVE-2025-54254）。APSB25-82影响Adobe Experience Manager Forms，解决了两个关键CVE，且已有公开的概念验证代码发布。

Adobe在13个更新中解决了68个CVE，包括Adobe Commerce、Substance 3D Viewer、Animate、Illustrator、Photoshop、Substance 3D modeler、Substance 3D Painter、Substance 3D Sampler、InDesign、InCopy、Substance 3D Stager、FrameMaker和Dimension。

零日和1日漏洞利用正在增加。安全供应商VulnCheck跟踪了2025年上半年的432个已知被利用漏洞（KEV），其中32%是零日或1日漏洞利用，给防御者应对新兴威胁的时间非常有限。（来源：CSOonline）

补丁修复策略思考

本月伊始，我先提出一个问题：您是否已经决定了本月的修复计划？思考一下：操作系统更新、生产力应用程序、浏览器和其他应用程序可能已经纳入您8月的补丁维护计划。您真正需要考虑的决策是围绕时间安排：是按照典型的补丁星期二计划进行，还是需要加速处理任何零日漏洞等？

您刚才思考的是定义风险偏好的概括。在整个漏洞管理市场中，有很多关于如何现代化漏洞管理的讨论。当考虑到像2025年上半年已知被利用漏洞（KEV）中32%是零日或1日漏洞利用这样的趋势时，可能会感到不知所措。如何跟上持续的更新流？理想情况下，通过定义您的目标并为成功配置。

如果我们将本月的补丁星期二分解为并行修复流：

例行维护：今天发布的许多内容将归入您重复的月度维护中，通常从补丁星期二开始，持续两周或更长时间，具体取决于您的SLA、操作系统、生产力应用程序、第三方应用程序等。
优先级更新：浏览器往往发布更频繁（通常每周），可能需要一个优先级更新轨道，以跟上环境中不断出现的新暴露。如果您没有为浏览器制定更频繁的更新计划，在这个补丁周期中，您可能需要解决过去四周内多个浏览器中的CVE。
零日响应：最近的SharePoint漏洞利用是零日漏洞利用的破坏性/不可预测性的一个很好的例子。
持续合规：前三个轨道可以解决您的大部分修复挑战，但对于那些正在休假、请假、获得新系统且运输绕过了当月维护窗口，或安装了不是最新版本的新软件的用户呢？定义一个基线，并在新更新通过质量测试时保持更新，将在出现多种漂移原因时保持系统合规。

微软公开披露的漏洞

第三方漏洞

Adobe在补丁星期二发布了13个新更新，但最紧急的是8月5日发布的Adobe Experience Manager Forms更新，解决了两个公开披露的CVE（CVE-2025-54253和CVE-2025-54254）。APSB25-82

Google Chrome 139.0.7258发布，解决了五个CVE，评级为关键。这也会影响Microsoft Edge，因此请注意该更新可能在本周晚些时候发布。

8月更新优先级

Microsoft SharePoint是本月的最高优先级，以解决最近被多个国家级威胁行为者针对的零日漏洞利用。请尽快更新。
8月5日发布的Adobe Experience Manager Forms更新是您的第二高优先级。
Windows操作系统和Office本月有关键CVE。作为常规维护的一部分进行更新，您应该没问题。
Microsoft Exchange Server和SQL Server各收到了更新。这些CVE仅评级为"重要"，因此无需升级修复，但服务器管理员应开始测试并在下个月内推出。