2025年2月安全更新深度解析:微软与Adobe关键漏洞修复指南
Zero Day Initiative — 2025年2月安全更新综述
2025年2月11日 | Dustin Childs
我们刚刚经历了Pwn2Own汽车黑客大赛,迎来了2025年第二个补丁星期二。微软和Adobe如期发布了最新安全补丁。本文将详细解析这些安全更新的技术细节。
Adobe 2025年2月补丁
本月Adobe发布了7个公告,修复了45个CVE漏洞,涉及InDesign、Commerce、Substance 3D Stager、InCopy、Illustrator、Substance 3D Designer和Photoshop Elements。其中Commerce的更新最大,修复了31个CVE。
关键修复包括:
- InDesign修复7个漏洞(4个严重级)
- Illustrator修复3个可导致恶意文件执行任意代码的严重漏洞
- Substance 3D Stager修复1个DoS漏洞
- InCopy和Substance 3D Designer各修复1个严重级代码执行漏洞
- Photoshop Elements修复1个重要级权限提升漏洞
所有漏洞在发布时均未被公开披露或活跃利用。Adobe将这些更新的部署优先级评为3级。
微软2025年2月补丁
微软本月发布了57个新CVE,涉及:
- Windows及组件
- Office及组件
- Azure
- Visual Studio
- 远程桌面服务
其中4个为严重级,52个为重要级,1个为中等级。两个漏洞已被公开披露,另外两个正被活跃利用。
重点漏洞分析
正在被利用的漏洞:
-
CVE-2025-21391 - Windows存储权限提升漏洞
攻击者可删除目标文件实现权限提升,需与代码执行漏洞配合使用。首次公开发现该技术被利用。 -
CVE-2025-21418 - Windows WinSock辅助功能驱动权限提升漏洞
认证用户可通过特制程序获得SYSTEM权限,通常与其他代码执行漏洞配合使用。
其他关键漏洞:
-
CVE-2025-21376 - Windows LDAP远程代码执行漏洞
无需认证即可通过恶意请求实现远程代码执行,具有蠕虫传播潜力。 -
CVE-2025-21387 - Microsoft Excel远程代码执行漏洞
可通过预览窗格或打开恶意文件触发,需安装多个补丁才能完全防护。
完整CVE列表
| CVE | 标题 | 严重性 | CVSS | 公开披露 | 活跃利用 | 类型 |
|---|---|---|---|---|---|---|
| CVE-2025-21418 | Windows WinSock驱动权限提升漏洞 | 重要 | 7.8 | 否 | 是 | EoP |
| CVE-2025-21391 | Windows存储权限提升漏洞 | 重要 | 7.1 | 否 | 是 | EoP |
| ...(完整表格见原文)... |
技术细节深度分析
代码执行漏洞:
- DHCP服务器漏洞(CVE-2025-21379)需中间人攻击,利用难度高
- SharePoint漏洞(CVE-2025-21400)需站点创建权限
- 高性能计算包漏洞(CVE-2025-21198)可攻击集群节点
权限提升漏洞:
- Windows Installer漏洞(CVE-2025-21373)可绕过重定向防护,通过NTFS格式U盘获得SYSTEM权限
- macOS版AutoUpdate漏洞(CVE-2025-24036)可获得root权限
安全特性绕过:
- 内核漏洞(CVE-2025-21359)可绕过UAC提示,标志微软改变了UAC不是安全边界的原有立场
修复建议
- 优先修复2个被活跃利用的权限提升漏洞
- 及时部署LDAP蠕虫级漏洞补丁
- Office用户需完整安装所有相关更新
- 集群环境重点检查HPC补丁
下次补丁星期二将在2025年3月11日。在此期间,请保持系统更新,确保重启顺利。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
公众号二维码
浙公网安备 33010602011771号