微软今天发布了更新,以修复其Windows操作系统和软件中至少 121 个安全漏洞,其中包括一个已经被广泛利用的漏洞。其中 11 个缺陷获得了微软最可怕的“严重”评级,这意味着恶意软件或不满者可以在 Windows 用户几乎没有交互的情况下利用它们。
已经被利用的零日漏洞是CVE-2025-29824 ,这是 Windows通用日志文件系统(CLFS) 驱动程序中的本地特权提升漏洞。微软将其评为“重要”,但正如Ivanti的Chris Goettl指出的那样,基于风险的优先级值得将其视为关键。
Windows 的这个 CLFS 组件对周二补丁并不陌生:根据 Tenable 的Satnam Narang的说法,自 2022 年以来,微软已经修补了 32 个 CLFS 漏洞(平均每年 10 个),其中 6 个漏洞被利用。最后一个 CLFS 零日漏洞于 2024 年 12 月修复。
Narang 指出,虽然允许攻击者安装任意代码的缺陷始终是周二补丁日功能中最重要的功能,但零日漏洞利用的数据却相反。
Narang 写道:“过去两年来,特权提升漏洞一直处于领先地位,截至 2025 年,占所有被利用的零日漏洞的一半以上。”
Rapid7 的Adam Barnett警告说,任何负责LDAP 服务器的 Windows 防御者(这意味着几乎所有拥有 Microsoft 足迹的组织)都应该将针对关键缺陷CVE-2025-26663 的修补程序添加到他们的待办事项列表中。
Barnett 表示:“由于不需要任何特权,不需要用户交互,并且可能在 LDAP 服务器本身的上下文中执行代码,因此成功利用漏洞对于任何攻击者来说都是一条有吸引力的捷径。” “任何想知道今天是否是 2024 年 12 月补丁星期二重演的人都可以得到一些小小的安慰,因为去年年底发布的三个 LDAP 关键 RCE中最糟糕的一个可能比今天的示例更容易被利用,因为今天的 CVE-2025-26663 要求攻击者赢得竞争条件。尽管如此,微软仍然预计利用的可能性更大。”
微软本月修补的关键更新包括Windows 远程桌面服务 (RDP) 中的远程代码执行缺陷,包括CVE-2025-26671 、 CVE-2025-27480和CVE-2025-27482 ;只有后两者被评为“严重”,微软将它们都标记为“更有可能被利用”。
也许本月修复的最广泛的漏洞是在网络浏览器中。 Google Chrome本周更新修复了 13 个缺陷, Mozilla Firefox修复了8 个缺陷,本周晚些时候Microsoft Edge可能会发布更多更新。
正如周二补丁日的惯例, Adobe发布了 12 个更新,解决了一系列产品的 54 个安全漏洞,包括ColdFusion 、 Adobe Commerce 、 Experience Manager Forms 、 After Effects 、 Media Encoder 、 Bridge 、 Premiere Pro 、 Photoshop 、 Animate 、 AEM Screens和FrameMaker 。
苹果用户可能也需要打补丁。 3 月 31 日,Apple 发布了一个巨大的安全更新(大小超过 3 GB),以修复一系列产品中的问题,其中包括至少一个零日漏洞。
如果您错过了, Apple于 2025 年 3 月 31 日为其多种产品发布了相当大的一批安全更新,从macOS到iPhone和iPad上的iOS操作系统。
今天早些时候,微软发布了一份说明,称Windows 10安全更新尚未提供,但将尽快发布。从浏览askwoody.com来看,这个问题已经得到纠正。无论哪种方式,如果您在应用任何这些更新时遇到麻烦,请在下面的评论中留言,因为很可能其他人也遇到了同样的问题。
与以往一样,请考虑在更新之前备份您的数据和/或设备,这使得撤消出现问题的软件更新变得更加简单。有关今天补丁星期二的更多详细信息,请查看SANS 互联网风暴中心的综述。微软 2025 年 4 月的更新指南在这里。
有关周二补丁日的更多详细信息,请查看Action1和Automox的文章。
原文: https://krebsonsecurity.com/2025/04/patch-tuesday-april-2025-edition/