聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
微软在2025年1月补丁星期二中共修复了159个漏洞,其中8个是0day漏洞。
这些漏洞的分类如下:
40个提权漏洞
14个安全特性绕过漏洞
58个远程代码执行漏洞
24个信息泄露漏洞
20个拒绝服务漏洞
5个欺骗漏洞
已遭利用的0day
本次微软共修复3个已遭活跃利用的0day漏洞:
CVE-2025-21333、CVE-2025-21334和CVE-2025-21335均为Windows Hyper-V NT Kernel Integration VSP 提权漏洞。这些漏洞的描述均相同。认证用户可利用它们以系统权限执行代码。尽管微软并未透露具体情况,但ZDI研究员认为如果攻击者从guest在管理程序上以系统权限执行代码,则CVSS评分会表现出范围变化,不过微软显然并未这么做。正在运行 Hyper-V 的用户,应快速测试和部署补丁。
如下漏洞为公开披露的5个0day漏洞。
CVE-2025-21275:Windows App Package Installer 提权漏洞。该漏洞可导致攻击者获得系统权限。
CVE-2025-21308:Windows Themes 欺骗漏洞。该漏洞是对此前漏洞CVE-2024-38030的绕过。0patch 公司此前曾发布该漏洞的微补丁。欺骗组件是NTLM凭据中继。因此NTLM受限的系统被利用的可能性不大。不过用户应当至少做到将流出的NTLM流量限制给远程服务器。微软已发布相关设置指南。用户应按照指南启用这些限制条件并为系统打补丁。
微软还修复了其它3个公开披露的漏洞,包括CVE-2025-21363、CVE-2025-21364和CVE-2025-21365,它们分别是Word、Excel和Office中的远程代码执行漏洞。
其它值得关注的漏洞
CVE-2025-21298:Windows OLE远程代码执行漏洞。该漏洞的CVSS评分为9.8,可导致远程攻击者通过 Outlook 向受影响系统发送特殊构造的邮件,在目标系统上执行代码。幸运的是预览面板并非攻击向量,但预览附件可触发代码执行。该漏洞位于 RTF 文件的解析中,是因为对用户提供的数据缺乏正确验证造成的,可导致内存损坏条件。用户可将 Outlook 设置为以明文形式读取所有标准邮件,但用户可能反感这么设置,最好的方式是快速测试并部署该补丁。
CVE-2025-21295:SPNEGO Extended Negotiation (NEGOEX) 安全机制远程代码执行漏洞。该漏洞影响谈判安全机制,可导致远程未认证攻击者在受影响系统上执行代码且无需用户交互。好消息是利用需要条件,但用户最好不要存在侥幸心理,应立即测试并部署该补丁。
CVE-2025-21297/CVE-2025-21309:Windows 远程桌面服务远程代码执行漏洞。这两个漏洞均可导致远程未认证攻击者在受影响的远程桌面网关服务器上执行任意代码。他们只需要连接到服务器就可触发条件竞争,制造释放后使用漏洞。虽然条件竞争有点难以利用,但却常常用于Pwn2Own大赛中。鉴于利用该漏洞无需用户交互,因此用户如果将这些网关暴露在互联网上,则应优先部署该补丁。
CVE-2025-21186、CVE-2025-21366和CVE-2025-21395均为微软Access远程代码执行漏洞。当受害者打开特殊构造的Microsoft Access 文档时,这三个漏洞就会遭利用。微软已拦截通过邮件发送时的如下文档。值得一提的是,这三个漏洞均为受AI支持的漏洞发现平台 Unpatched.ai发现。
accdb
accde
accdw
accdt
accda
accdr
accdu
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
原文链接
https://www.bleepingcomputer.com/news/microsoft/microsoft-january-2025-patch-tuesday-fixes-8-zero-days-159-flaws/
https://www.zerodayinitiative.com/blog/2025/1/14/the-january-2025-security-update-review
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
