本周二,微软发布月度安全更新,共修复78个安全漏洞,其中包含5个已被黑客组织实际利用的"零日漏洞",以及一个影响Azure DevOps Server的CVSS满分(10分)高危漏洞。此次修复涉及Windows系统、Office套件、Azure云平台等核心产品,再次为全球企业网络安全敲响警钟。
据微软安全响应中心披露,本次修复的漏洞中,11个被评定为"严重"级别,66个为"重要"级别。从漏洞类型来看,28个存在远程代码执行风险,21个可能导致权限提升,16个涉及信息泄露。值得关注的是,五个已被实际利用的零日漏洞均与系统核心组件相关:
1. CVE-2025-30397(CVSS 7.5):脚本引擎内存损坏漏洞,攻击者可通过恶意网页触发内存错误,在用户权限下执行任意代码。Action1公司CEO指出,若用户具有管理员权限,攻击者可完全控制系统。
2. CVE-2025-30400(CVSS 7.8):桌面窗口管理器权限提升漏洞,这是近三年来第三个被利用的DWM组件漏洞。此前同类漏洞曾被用于传播QakBot银行木马。
3. CVE-2025-32701/32706(CVSS 7.8):CLFS日志系统驱动漏洞,自2022年以来该组件已出现8个被利用漏洞。上月发现的同类漏洞曾遭Play勒索软件团伙利用。
4. CVE-2025-32709(CVSS 7.8):WinSock网络驱动漏洞,朝鲜黑客组织Lazarus曾被指利用类似漏洞实施攻击。
美国网络安全局(CISA)已将这五项漏洞列入"已知被利用漏洞"清单,要求联邦机构在2025年6月3日前完成修复。安全专家提醒,普通企业也应尽快部署补丁,特别是暴露在公网的服务端系统。
此次最严重漏洞CVE-2025-29813(CVSS 10.0)存在于Azure DevOps Server,允许攻击者通过网络进行权限提升。微软表示云服务已完成修复,但本地部署用户需手动更新。这是今年首个获得满分的云计算漏洞,凸显云平台安全防护的严峻形势。
- Linux版Defender端点防护存在本地提权风险(CVE-2025-26684)
- 企业身份防护系统存在凭证窃取隐患(CVE-2025-26685)
- 新版Edge浏览器累计修复8个Chromium内核漏洞
全球安全生态链联动响应,Adobe、思科、谷歌等50余家科技巨头同步发布补丁。专家建议企业立即启动以下措施:
2. 检查Azure DevOps Server版本并升级至2020.1.2/2022.1.2
3. 对存在Java环境的Linux设备进行权限审查
原文始发于微信公众号(看雪学苑):微软修复78个漏洞,5个零日漏洞被利用,Azure惊现满分漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/4064283.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论