Microsoft 修补了 57 个漏洞，包括 6 个零日漏洞

快速阅读: 《Cyber Scoop 独家新闻》消息，微软在最新安全更新中修补了57个漏洞，其中6个是已被积极利用的零日漏洞。这些漏洞影响了Windows文件系统、Office、组件及远程桌面服务等。其中，CVE-2025-24985、CVE-2025-24984等四个漏洞影响核心Windows文件系统组件，允许远程代码执行。这些漏洞被评定为高危，存在严重的长期运营风险。

微软在其最新的安全更新中修补了57个影响其基础系统和核心产品的漏洞，其中包括6个正在被积极利用的零日漏洞。周二，该公司在公告中表示。这六个零日漏洞中有四个被添加到网络安全和基础设施安全局的已知利用漏洞目录中，在CVSS评分体系中均被评为高危。这些软件缺陷影响了基本驱动程序、内核以及数十种产品，包括微软Office、Windows组件和多个远程桌面服务。此次更新中的大多数漏洞在CVSS评分体系中被评为高危。“这是微软连续第六个月在补丁星期二发布零日漏洞，但没有一个漏洞在发布时被评估为严重级别，”Rapid7的首席软件工程师亚当·巴尼特在电子邮件中表示。四个零日漏洞影响了核心Windows文件系统组件。这包括CVE-2025-24985，该漏洞涉及Windows快速FAT文件系统驱动程序中的整数溢出和基于堆的缓冲区溢出问题，以及三个影响Windows NTFS（新技术文件系统）的零日漏洞：远程代码执行漏洞CVE-2025-24984，基于堆的缓冲区溢出缺陷CVE-2025-24993和越界读取缺陷CVE-2025-24991。“这些漏洞存在于对Windows操作至关重要的基础操作系统驱动程序中，使它们成为全球性的安全风险，”Action1的总裁兼联合创始人迈克·沃尔特斯在电子邮件中表示。“由于这些漏洞允许攻击者完全绕过应用程序级别的安全措施，从而获得内核级别或直接内存访问权限，因此它们构成了严重的长期运营风险，”他说。“它们的活跃利用表明，高级持续威胁组织和网络犯罪组织已经在利用它们。”威胁组织可能私下共享CVE-2025-24984漏洞的概念验证，这是一个已知被积极利用的漏洞，根据Action1的数据，其CVSS评分为4.6。微软安全更新中剩余的零日漏洞包括高危漏洞CVE-2025-26633，这是Microsoft管理控制台中的不当中和缺陷，以及Windows Win32内核子系统的CVE-2025-24983。ESET的研究员菲利普·朱尔卡科发现了被列为CVE-2025-24983的零日漏洞利用，他表示使用后释放漏洞与软件运行期间不正确的内存使用有关。攻击者可以利用该漏洞在先前被攻破的机器上进行权限提升，并运行恶意代码，朱尔卡科在电子邮件中表示。供应商每月发布的补丁修复了微软认为更有可能被利用的10个漏洞。这批更为严重的漏洞包括可能导致Windows远程桌面服务远程代码执行的两个缺陷——敏感数据存储在未正确锁定的内存中的漏洞CVE-2025-24035和CVE-2025-24045。本月修复的所有漏洞列表可以在微软安全响应中心找到。

(以上内容均由Ai生成)