微软近期发布了安全修复程序，旨在解决其软件产品中存在的126个漏洞，其中11个被评为关键漏洞，并包含一个正在被积极利用的漏洞。该漏洞是一个影响Windows公共日志文件系统（CLFS）驱动程序的权限提升漏洞，允许攻击者在本地提升权限。此外，更新还修复了Windows Kerberos的安全功能绕过漏洞以及远程桌面服务和轻量级目录访问协议中的远程代码执行漏洞。微软已确认该漏洞在野外被积极利用，但尚未为Windows 10的部分系统发布补丁，这引发了安全隐患。同时，其他厂商也发布了安全更新，以修复多个漏洞。

🚨 微软发布了针对其软件产品的安全修复程序，共计修复了126个漏洞，其中11个被评为关键漏洞。

⚠️ 其中一个被积极利用的漏洞是影响Windows公共日志文件系统（CLFS）驱动程序的权限提升（EoP）漏洞（CVE-2025-29824），该漏洞源于释放后使用场景，允许攻击者在本地提升权限。

📢 该漏洞允许权限提升至SYSTEM级别，攻击者可以安装恶意软件、修改系统设置、篡改安全功能等。微软已确认该漏洞在野外被积极利用，但尚未为Windows 10部分系统发布补丁。

🛡️ 除了微软，其他厂商也在过去几周发布了安全更新，以修复多个漏洞，涵盖Adobe、Apple、Google等众多知名厂商的软件。

HackerNews 编译，转载请注明出处：

微软发布了安全修复程序，解决了影响其软件产品的 126 个漏洞，其中包括一个正在被积极利用的漏洞。

在 126 个漏洞中，11 个被评为关键漏洞，112 个被评为重要漏洞，2 个被评为低严重性漏洞。其中，49 个漏洞被分类为权限提升漏洞，34 个为远程代码执行漏洞，16 个为信息泄露漏洞，14 个为拒绝服务（DoS）漏洞。  

此次更新不包括该公司自上个月发布补丁星期二更新以来，在基于 Chromium 的 Edge 浏览器中修复的 22 个漏洞。  

正在遭受攻击的漏洞是一个影响 Windows 公共日志文件系统（CLFS）驱动程序的权限提升（EoP）漏洞（CVE-2025-29824，CVSS 评分：7.8），该漏洞源于一个释放后使用场景，允许授权攻击者在本地提升权限。  

自 2022 年以来，CVE-2025-29824 是在同一组件中发现的第六个被利用的 EoP 漏洞，其他漏洞包括 CVE-2022-24521、CVE-2022-37969、CVE-2023-23376、CVE-2023-28252 和 CVE-2024-49138（CVSS 评分：7.8）。  

“从攻击者的角度来看，被攻陷后的活动需要获得必要的权限，以便在被攻陷的系统上进行后续活动，例如横向移动，”Tenable 高级研究工程师 Satnam Narang 表示。  

“因此，权限提升漏洞在针对性攻击中通常很受欢迎。然而，近年来，CLFS 中的权限提升漏洞在勒索软件运营者中变得特别受欢迎。”  

Action1 总裁兼联合创始人 Mike Walters 表示，该漏洞允许权限提升至 SYSTEM 级别，从而使攻击者能够安装恶意软件、修改系统设置、篡改安全功能、访问敏感数据并保持持久访问权限。  

“这个漏洞特别令人担忧的是，微软已确认该漏洞在野外被积极利用，但目前尚未为 Windows 10 32 位或 64 位系统发布补丁，”Immersive 首席网络安全工程师 Ben McCarthy 表示。“补丁的缺失为 Windows 生态系统的大部分留下了一个关键的防御缺口。”  

“在某些内存操作条件下，可以触发释放后使用漏洞，攻击者可以利用该漏洞在 Windows 中以最高权限级别执行代码。重要的是，攻击者不需要管理员权限即可利用该漏洞——只需要本地访问权限。”  

根据微软的说法，该漏洞的积极利用与针对少数目标的勒索软件攻击有关。这一发展促使美国网络安全与基础设施安全局（CISA）将其添加到已知被利用漏洞（KEV）目录中，要求联邦机构在 2025 年 4 月 29 日之前应用修复程序。  

本月微软修复的其他一些值得注意的漏洞包括影响 Windows Kerberos 的安全功能绕过（SFB）漏洞（CVE-2025-29809），以及 Windows 远程桌面服务（CVE-2025-27480、CVE-2025-27482）和 Windows 轻量级目录访问协议（CVE-2025-26663、CVE-2025-26670）中的远程代码执行漏洞。  

同样值得注意的是，Microsoft Office 和 Excel 中的多个关键严重性远程代码执行漏洞（CVE-2025-29791、CVE-2025-27749、CVE-2025-27748、CVE-2025-27745 和 CVE-2025-27752），这些漏洞可能被攻击者利用，通过特制的 Excel 文档实现对系统的完全控制。  

关键漏洞列表还包括影响 Windows TCP/IP（CVE-2025-26686）和 Windows Hyper-V（CVE-2025-27491）的两个远程代码执行漏洞，这些漏洞可能允许攻击者在某些条件下通过网络执行代码。  

值得注意的是，一些漏洞尚未为 Windows 10 推出补丁。微软表示，更新将“尽快发布，当它们可用时，客户将通过此 CVE 信息的修订版收到通知。”  

其他厂商的软件补丁

除了微软，其他厂商在过去几周也发布了安全更新，以修复多个漏洞，包括：  

– Adobe  

– Amazon Web Services  

– AMD  

– Apache Parquet  

– Apple  

– Arm  

– ASUS  

– Bitdefender  

– Broadcom（包括 VMware）  

– Canon  

– Cisco  

– CrushFTP  

– Dell  

– Drupal  

– F5  

– Fortinet  

– GitLab  

– Google Android  

– Google Chrome  

– Google Cloud  

– Hitachi Energy  

– HP  

– HP Enterprise（包括 Aruba Networking）  

– Huawei  

– IBM  

– Ivanti  

– Jenkins  

– Juniper Networks  

– Lenovo  

– Linux 发行版（Amazon Linux、Debian、Oracle Linux、Red Hat、Rocky Linux、SUSE 和 Ubuntu）  

– MediaTek  

– Meta WhatsApp  

– Minio  

– Mitel  

– Mitsubishi Electric  

– MongoDB  

– Moxa  

– Mozilla Firefox、Firefox ESR 和 Thunderbird  

– QNAP  

– Qualcomm  

– Rockwell Automation  

– Salesforce  

– Samsung  

– SAP  

– Schneider Electric  

– Siemens  

– SonicWall  

– Sophos  

– Splunk  

– Spring Framework  

– Synology  

– WordPress  

– Zoho ManageEngine  

– Zoom

 

---

消息来源：The Hacker News； 

本文由 HackerNews.cc 翻译整理，封面来源于网络；  

转载请注明“转自 HackerNews.cc”并附上原文