摘要:2025年国家网络安全宣传周于9月15日至21日在全国统一开展,主题为“网络安全为人民,网络安全靠人民——以高水平安全守护高质量发展”。活动期间,有关部门发布《人工智能安全治理框架》2.0版等标志性成果,并首次公布AI大模型实网众测结果,共发现281个漏洞,其
2025年国家网络安全宣传周于9月15日至21日在全国统一开展,主题为“网络安全为人民,网络安全靠人民——以高水平安全守护高质量发展”。活动期间,有关部门发布《人工智能安全治理框架》2.0版等标志性成果,并首次公布AI大模型实网众测结果,共发现281个漏洞,其中大模型特有漏洞占比超60%。这一数据凸显AI安全已成为当前网络安全的核心议题之一。
LockBit勒索病毒组织发布了LockBit 5.0版本。企业亟需部署一体化跨平台的防御体系,以有效抵御此类攻击。
2025年8月~2025年9月CCERT安全投诉事件统计
近期新增严重漏洞评述
01
微软2025年9月的例行安全更新共包含微软产品的安全漏洞86个,其中13个高危、72个重要,1个一般等级。这些漏洞中需要特别关注的是:
Windows SMB服务权限提升漏洞(CVE-2025-55234)。目前该漏洞的攻击代码已被公布,建议用户尽快进行补丁更新,若无法及时更新,建议启用SMB签名和身份验证扩展保护(EPA),并利用新的审计功能在强制实施前检测兼容性问题。
SQL Server的Newtonsoft.Json库拒绝服务攻击漏洞(CVE-2024-21907)。目前该漏洞的攻击代码已在网络上被公布,建议相关用户尽快进行更新。
Windows内核权限提升漏洞(CVE-2025-54110)。Windows内核中存在一个整数溢出漏洞,普通用户利用该漏洞可以进行权限提升攻击,并最终获取SYSTEM权限执行任意代码。
Windows NTLM权限提升漏洞(CVE-2025-54918)。Windows NTLM在身份验证过程中检查不严谨,导致权限检查和会话建立之间存在漏洞。在可以与目标系统进行NTLM交互的网络环境中,已认证的普通用户可以通过构造认证对话来绕过系统权限限制,以SYSTEM的权限执行任意命令。
Office软件代码执行漏洞(CVE-2025-54910)。Office软件中存在一个堆溢出漏洞,攻击者可以构建恶意的文件引诱用户点击,由于Office的预览窗口格就可以触发该漏洞,用户只需在资源管理器中接收并预览了文件漏洞就会被利用,成功利用该漏洞,攻击者可以远程执行任意代码。
除了漏洞本身外,微软也发出了30天倒计时提醒公告,用于提醒Windows 10 22H2(包括家庭版、专业版、企业版、教育版和物联网企业版)的用户,该版本的系统已经进入服务倒计时。微软将于2025年10月14日结束所有更新服务,此后将不再为该版本的系统提供任何安全更新和技术协助。同样将停止服务的还包括Win 11 22H2版(企业版和教育版),建议用户尽快升级到Win 11 24H2版本。
02
Google公司近期发布了Chrome 140更新(140.0.7339.185/.186),用于修补之前版本中存在的多个安全漏洞,其中包括一个V8引擎漏洞(CVE-2025-10585)。该漏洞目前已经发现在网络上被利用,它也是Chrome浏览器今年的第六个0day漏洞。
03
GitLab发布了最新的版本(18.4.1、18.3.3、18.2.7),用于修补之前版本中的多个安全漏洞,攻击者可以通过HTTP端点和GraphQL API发起攻击,未经身份认证的攻击者利用这些漏洞可以使GitLab实例崩溃。这其中CVE-2025-10858和CVE-2025-8014两个漏洞的CVSS评分最高达7.5分。建议相关的管理员尽快进行版本升级。
04
Spring Framework是目前Java企业级开发的核心框架,Spring Security是基于Spring框架的安全认证和访问控制框架。近期这两个框架中被发现存在两个权限绕过漏洞(CVE-2025-41248、CVE-2025-41249),建议尽快将Spring Security升级到6.4.10或6.5.4版本,将Spring Framework升级到5.3.45、6.1.23或6.2.11版本。
安全提示
9月11日,国家互联网信息办公室发布《国家网络安全事件报告管理办法》,该办法将于2025年11月1日正式施行。管理办法明确要求作为网络运营者需履行网络安全事件报告义务,并对报告时限作出严格规定。这标志着高校网络安全应急处置工作面临更高标准,学校需健全网络安全事件应急预案,明确报告流程与责任人;同时强化安全监测能力,确保及时发现、处置安全事件并依法依规上报。
作者:郑先伟(中国教育和科研计算机网应急响应组)
责编:陈茜
来源:中国教育网
