Adobe 2025年9月安全更新
2025年9月,Adobe发布了9个安全公告,修复了Adobe Acrobat Reader、After Effects、Premiere Pro、Commerce、Substance 3D Viewer、Experience Manager、Dreamweaver、Adobe 3D Substance Modeler和ColdFusion中的22个独特CVE。
其中,ColdFusion更新是唯一的优先级1补丁,但Adobe指出尚未检测到利用行为。Commerce补丁修复了一个关键级漏洞,评级为优先级2,同样未发现利用。Acrobat更新修复了一个关键级和一个中等级别的漏洞。
After Effects补丁修复了三个重要级漏洞。Premiere Pro中的单个漏洞可能导致代码执行。Substance 3D Viewer修复了三个独立的代码执行漏洞,Substance 3D Modeler也是如此。Experience Manager的修复是本月的最大补丁,包含七个修复,但仅有一个被评为关键级。Dreamweaver修复了一个跨站请求伪造(CSRF)漏洞。
Adobe本月修复的所有漏洞在发布时均未列为公开已知或受到主动攻击。除ColdFusion和Commerce补丁外,所有更新均列为部署优先级3。
微软2025年9月安全更新
本月,微软在Windows和Windows组件、Office和Office组件、Microsoft Edge(基于Chromium)、Azure、Hyper-V、SQL Server、Defender防火墙服务和Xbox中发布了80个新CVE。在今日发布的补丁中,8个被评为关键级,其余被评为重要级。这使得微软在漏洞数量上比去年同期多出约100个。
微软列出一个漏洞在发布时已公开已知,但未注明受到主动攻击。让我们仔细看看本月一些更有趣的更新:
重点关注漏洞
-
CVE-2025-55232 - Microsoft高性能计算(HPC)Pack远程代码执行漏洞 这是本月CVSS评分最高的漏洞(9.8)。远程未经身份验证的攻击者可在无需用户交互的情况下在受影响系统上获得代码执行权限,这使得在安装HPC Pack的系统之间可能形成蠕虫传播。微软建议确保HPC Pack集群仅部署在安全飞地中,并建议阻止TCP端口5999。
-
CVE-2025-54910 - Microsoft Office远程代码执行漏洞 这是连续第八个月至少有一个Office组件通过预览窗格允许代码执行。微软建议暂时禁用预览窗格,直到问题解决。
-
CVE-2025-54918 - Windows NTLM权限提升漏洞 此权限提升允许经过身份验证的威胁行为者通过网络在受影响系统上提升至SYSTEM权限。微软指出漏洞利用复杂度低,预计威胁行为者会针对此漏洞。
完整CVE列表
| CVE | 标题 | 严重性 | CVSS | 公开 | 利用 | 类型 |
|---|---|---|---|---|---|---|
| CVE-2025-55234 † | Windows SMB权限提升漏洞 | 重要 | 8.8 | 是 | 否 | EoP |
| CVE-2025-55226 | 图形内核远程代码执行漏洞 | 关键 | 6.7 | 否 | 否 | RCE |
| …(完整表格内容)… |
*表示此CVE已由第三方发布,现包含在微软发布中。 †表示需要进一步管理操作才能完全解决漏洞。
漏洞分析
代码执行漏洞
在其余关键补丁中,图形组件和图形内核中有几个漏洞,但这些需要经过身份验证的用户,可能被视为权限提升和代码执行漏洞。Windows Imaging组件中还有一个关键级信息泄露漏洞,但由于仅泄露随机内存部分,不清楚为何被评为关键级。
其他代码执行漏洞包括Office组件(主要是Excel)中的多个打开即拥有漏洞、每月RRAS漏洞、SMB客户端中看似可怕的漏洞(但需要身份验证)、NTFS漏洞(同样需要身份验证)。SharePoint中的漏洞需要站点所有者权限,但任何能够在SharePoint上创建站点的用户都拥有这些权限。最终的代码执行漏洞在Windows图形组件中,需要用户交互。
权限提升漏洞
权限提升漏洞几乎占本月发布的一半。幸运的是,如果经过身份验证的用户运行特制代码,大多数这些漏洞会导致SYSTEM级代码执行或管理权限。Defender防火墙服务中的六个漏洞允许攻击者从中等完整性提升到本地服务。
Azure Arc中的漏洞很有趣,可能允许威胁行为者在受影响服务器上添加VM扩展。Azure Connected Machine Agent中的漏洞仅导致SYSTEM,但需要手动将系统更新到最新版本。Microsoft AutoUpdate for Mac中的漏洞攻击场景不太可能,但可能导致受影响系统上的root权限。
其他漏洞类型
本月发布包含十几个信息泄露更新,大多数仅导致未指定内存内容或内存地址的信息泄露。SQL Server中的漏洞可能泄露"敏感信息"。
本月发布中有两个安全功能绕过漏洞,都影响MapUrlToZone组件。这些漏洞允许URL映射到错误的安全区域。
Office Plus中的欺骗漏洞信息不多。Office Plus是微软中国团队于2022年推出的产品,主要通过网页版为用户提供Office模板。基于此,猜测攻击者可能欺骗合法用户以获取Office Plus资源访问权限。
本次发布中只有三个拒绝服务漏洞补丁。与往常一样,微软未提供有关这些漏洞的可操作信息。
展望
2025年的下一个补丁星期二将在10月14日,届时我将回来分析发布内容。在此之前,保持安全,愉快打补丁,愿所有重启顺利无忧!