2023天天弄国产大片_男人的天堂v在线播放_精品久久这里_久久久无码国产精精品免费国国产欧美日本韩高清视频一区二区三区免费式_成全视频免费观看在线下载

服務(wù)公告

全部公告 > 安全公告 > 微軟2025年3月份月度安全漏洞預警

微軟2025年3月份月度安全漏洞預警

2025-03-12

一、概要

近日,華為雲關(guān)注到微軟發(fā)布2025年3月份安全補丁更新,共披露了56個(gè)安全漏洞,其中6個(gè)漏洞標(biāo)記為嚴(yán)重漏洞。攻擊者利用漏洞可實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行、權(quán)限提升、安全功能繞過(guò)等。受影響的應(yīng)用包括:Microsoft Windows、Microsoft Office、Visual Studio、Microsoft Azure等組件。

微軟官方說(shuō)明:

https://msrc.microsoft.com/update-guide/releaseNote/2025-Mar

本次用戶(hù)需關(guān)注如下存在細(xì)節(jié)已公開(kāi)/已出現(xiàn)在野攻擊利用的漏洞:

Microsoft 管理控制臺(tái)安全功能繞過(guò)漏洞(CVE-2025-26633):0day漏洞,遠(yuǎn)程攻擊者通過(guò)誘導(dǎo)受害者打開(kāi)特製的文件觸發(fā)漏洞,成功利用該漏洞允許未經(jīng)授權(quán)的攻擊者本地繞過(guò)安全功能。目前已發(fā)現(xiàn)在野攻擊利用,風(fēng)險(xiǎn)高。

Windows NTFS 遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2025-24993):0day漏洞,攻擊者通過(guò)誘騙受害者安裝特製的 VHD觸發(fā)漏洞,成功利用該漏洞的攻擊者可以在本地執(zhí)行遠(yuǎn)程代碼。目前已發(fā)現(xiàn)在野攻擊利用,風(fēng)險(xiǎn)高。

Windows NTFS 信息洩露漏洞(CVE-2025-24991):0day漏洞,攻擊者通過(guò)誘騙受害者安裝特製的VHD觸發(fā)漏洞,成功利用此漏洞的攻擊者可能會(huì)讀取堆內(nèi)存的小部份內(nèi)容。目前已發(fā)現(xiàn)在野攻擊利用,風(fēng)險(xiǎn)高。

Windows 快速 FAT 文件系統(tǒng)驅動(dòng)程序遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2025-24985):0day漏洞,攻擊者可以誘騙受害者安裝特製的 VHD觸發(fā)漏洞,成功利用該漏洞的攻擊者可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。目前已發(fā)現(xiàn)在野攻擊利用,風(fēng)險(xiǎn)高。

Windows NTFS 信息洩露漏洞(CVE-2025-24984):0day漏洞,由於敏感信息存儲(chǔ)在日誌文件中,具有物理訪(fǎng)問(wèn)權(quán)限的攻擊者利用該漏洞可以訪(fǎng)問(wèn)日誌文件中的敏感數(shù)據(jù)。目前已發(fā)現(xiàn)在野攻擊利用,風(fēng)險(xiǎn)高。

Windows Win32 內(nèi)核子系統(tǒng)特權(quán)提升漏洞(CVE-2025-24983):0day漏洞,由於Windows Win32 內(nèi)核子系統(tǒng)中的釋放後使用存在缺陷,贏(yíng)得競(jìng)爭(zhēng)條件的攻擊者成功利用該漏洞可以獲得 SYSTEM 權(quán)限。目前已發(fā)現(xiàn)在野攻擊利用,風(fēng)險(xiǎn)高。

Microsoft Access 遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2025-26630):攻擊者通過(guò)誘導(dǎo)受害者從網(wǎng)站下載並打開(kāi)特製文件觸發(fā)漏洞,成功利用該漏洞可導(dǎo)致在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。目前漏洞已被公開(kāi)披露,風(fēng)險(xiǎn)高。

本月官方標(biāo)記為更有可能被利用的漏洞有10個(gè)(如:CVE-2025-24035、CVE-2025-24045、CVE-2025-24995等),詳情請查看官方公告,華為雲提醒用戶(hù)及時(shí)安全自檢並做好安全加固以降低被攻擊的風(fēng)險(xiǎn)。

二、漏洞級(jí)別

漏洞級(jí)別:【嚴(yán)重】

(說(shuō)明:漏洞級(jí)別共四級(jí):一般、重要、嚴(yán)重、緊急)

三、影響範圍

Microsoft Windows、Microsoft Office、Visual Studio、Microsoft Azure等產(chǎn)品。 

四、重要漏洞說(shuō)明詳情

CVE編號(hào)

漏洞名稱(chēng)

嚴(yán)重程度

漏洞描述

CVE-2025-26645

遠(yuǎn)程桌面客戶(hù)端遠(yuǎn)程代碼執(zhí)行漏洞

嚴(yán)重

在遠(yuǎn)程桌面連接的情況下,當(dāng)受害者使用存在漏洞的遠(yuǎn)程桌面客戶(hù)端連接到攻擊伺服器時(shí),控制遠(yuǎn)程桌面伺服器的攻擊者可以在 RDP 客戶(hù)端計(jì)算機(jī)上觸發(fā)遠(yuǎn)程代碼執(zhí)行 (RCE)。

CVE-2025-24084

Windows 子系統(tǒng) Linux (WSL2) 內(nèi)核遠(yuǎn)程代碼執(zhí)行漏洞

嚴(yán)重

由於Windows Subsystem for Linux 中存在不受信任的指針取消引用,攻擊者可以通過(guò)向受害者發(fā)送特製的電子郵件觸發(fā)漏洞,成功利用該漏洞可能導(dǎo)致攻擊者在受害者的主機(jī)上執(zhí)行遠(yuǎn)程代碼。

CVE-2025-24064

Windows 域名服務(wù)遠(yuǎn)程代碼執(zhí)行漏洞

嚴(yán)重

因DNS 伺服器中的「釋放後使用」功能存在缺陷,贏(yíng)得競(jìng)爭(zhēng)條件的遠(yuǎn)程攻擊者可利用該漏洞在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。

CVE-2025-24035

CVE-2025-24045

Windows 遠(yuǎn)程桌面服務(wù)遠(yuǎn)程代碼執(zhí)行漏洞

嚴(yán)重

在 Windows 遠(yuǎn)程桌面服務(wù)中,敏感數(shù)據(jù)存儲(chǔ)在未正確鎖定的內(nèi)存中,導(dǎo)致未經(jīng)授權(quán)的攻擊者可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。

CVE-2025-24057

Microsoft Office 遠(yuǎn)程代碼執(zhí)行漏洞

嚴(yán)重

遠(yuǎn)程攻擊者通過(guò)誘導(dǎo)受害者打開(kāi)特製的文件觸發(fā)基於堆的緩衝區(qū)溢出,成功利用該漏洞可導(dǎo)致未經(jīng)授權(quán)的攻擊者在本地執(zhí)行任意代碼。

(註:以上為嚴(yán)重漏洞,其他漏洞及詳情請參見(jiàn)微軟官方說(shuō)明) 

五、安全建議

1、可通過(guò)Windows Update自動(dòng)更新微軟補丁修復漏洞,也可以手動(dòng)下載補丁,補丁下載地址:

https://msrc.microsoft.com/update-guide

2、為確保數(shù)據(jù)安全,建議重要業(yè)務(wù)數(shù)據(jù)進(jìn)行異地備份。

注意:修復漏洞前請將資料備份,並進(jìn)行充分測(cè)試。