主要要点

• 本月大部分风险出现在补丁星期二之前，包括Android（CVE-2025-38352、CVE-2025-48543）、WhatsApp（CVE-2025-55177）和WinRAR（CVE-2025-8088）的零日漏洞
• 微软解决了81个新CVE，包括两个公开披露的漏洞。八个CVE被微软评为严重级别（五个远程代码执行、两个权限提升、一个信息泄露），影响Windows操作系统和Office
• Adobe发布了九个更新，解决了22个CVE。Adobe将ColdFusion更新评为优先级一，Commerce评为优先级二

漏洞详情

补丁星期二前的安全态势

进入9月补丁星期二的前几天出现了一些混乱，包括两个被积极利用的Android CVE（CVE-2025-38352、CVE-2025-48543）、WhatsApp中的一个零日（CVE-2025-55177）、WinRAR中的另一个零日（CVE-2025-8088），以及通过Drift AI聊天代理暴露Salesforce客户数据的大规模供应链攻击。

好消息是，微软本月解决的81个总CVE中只有两个公开披露的漏洞（CVE-2025-55234、CVE-2024-21907），这使本月成为我们所能期望的最接近平静的补丁星期二。

微软公开披露的漏洞

微软解决了Windows SMB中的一个权限提升漏洞（CVE-2025-55234），微软已确认此漏洞已公开披露。微软将此CVE评为重要级别，其CVSS v3.1得分为8.8，影响所有Windows操作系统版本。代码成熟度未经证实，这表明没有代码样本被披露。基于风险的优先级排序方法应将其视为重要。

微软解决了Newtonsoft.Json中的一个异常条件处理不当漏洞（CVE-2024-21907），微软已确认此漏洞已公开披露。该CVE未评级，影响SQL Server 2016、2017和2019。根据库的使用情况，未经身份验证的远程攻击者可能能够造成拒绝服务状况。基于风险的优先级排序方法应将其视为重要。

第三方漏洞

Adobe发布了九个更新，解决了22个CVE，其中12个被评为严重级别。受影响的产品包括Adobe Acrobat Reader、After Effects、Premiere Pro、Commerce、Substance 3D Viewer、Experience Manager、Dreamweaver、3D Substance Modeler和ColdFusion。Adobe将ColdFusion更新评为优先级一，Commerce评为优先级二。其他七个更新被评为优先级三。

Ivanti安全公告

Ivanti为9月补丁星期二发布了两个更新，共解决了13个CVE。受影响的产品包括Ivanti Connect Secure和Policy Secure以及Ivanti EPM。

有关更多详细信息，您可以在Ivanti博客上的9月安全更新中查看提供的更新和信息。

9月更新优先级

由于补丁星期二没有发布零日漏洞，本月的更新主要是低风险的。确保您已掌握补丁星期二前的零日漏洞，并计划通过本月的常规维护活动部署Microsoft和Adobe更新。