微软2025年1月补丁星期二修复8个零日漏洞和159个缺陷

摘要：微软2025年1月补丁星期二发布了针对159个漏洞的安全更新，其中包括三个正在积极利用的零日漏洞。这些更新解决了十二个被分类为“关键”的漏洞，涵盖信息泄露、权限提升和远程代码执行等问题。具体而言，更新包含40个权限提升漏洞、58个远程代码执行漏洞和24个信息泄

微软2025年1月补丁星期二发布了针对159个漏洞的安全更新，其中包括三个正在积极利用的零日漏洞。这些更新解决了十二个被分类为“关键”的漏洞，涵盖信息泄露、权限提升和远程代码执行等问题。具体而言，更新包含40个权限提升漏洞、58个远程代码执行漏洞和24个信息泄露漏洞。特别关注的零日漏洞包括CVE-2025-21333、CVE-2025-21334和CVE-2025-21335，涉及Windows Hyper-V的权限提升，可能使攻击者获得SYSTEM权限。此外，CVE-2025-21275和CVE-2025-21308等漏洞也被披露，可能导致权限提升或被利用。更新还修复了三个在Microsoft Access中的远程代码执行漏洞。完整的漏洞列表可在报告中查阅。

今天标志着微软2025年1月的补丁星期二，这次更新引入了针对总计159个漏洞的安全更新。其中包括八个零日漏洞，目前有三个正在持续被利用。这次更新还解决了十二个被分类为“关键”的漏洞，涉及信息泄露、权限提升和远程代码执行等问题。漏洞按类别的细分如下：40个权限提升漏洞，14个安全功能绕过漏洞，58个远程代码执行漏洞，24个信息泄露漏洞，20个拒绝服务漏洞，以及5个欺骗漏洞。

本月的补丁星期二特别针对三个正在积极利用的零日漏洞，以及五个已公开披露的漏洞。微软将零日漏洞定义为已公开知晓或在没有官方补丁的情况下被积极利用的漏洞。今天更新中解决的漏洞包括CVE-2025-21333、CVE-2025-21334和CVE-2025-21335，涉及Windows Hyper-V NT内核集成VSP权限提升漏洞。这些漏洞使攻击者能够在Windows设备上获得SYSTEM权限。尽管关于利用方法的细节尚未披露，但显然这些缺陷是匿名揭露的，并且可能相互关联，因它们是通过类似的攻击方式被发现或利用的。

除了上述提到的漏洞外，还有几个值得注意的零日漏洞已被公开披露。例如，CVE-2025-21275与Windows应用程序包安装程序中的权限提升漏洞有关，也可能导致SYSTEM权限。微软表示，攻击者可以利用此缺陷获得这种权限。另一个漏洞CVE-2025-21308涉及Windows主题漏洞，仅需在Windows资源管理器中显示一个特别制作的主题文件即可被利用。该漏洞由ACROS Security的Blaz Satler识别，是对早期漏洞CVE-2024-38030的绕过。微软还解决了三个在Microsoft Access中的远程代码执行漏洞，分别为CVE-2025-21186、CVE-2025-21366和CVE-2025-21395，这些漏洞在打开特别制作的Microsoft Access文档时可能被利用。Unpatched.ai，一个AI辅助的漏洞发现平台，已识别出这三个缺陷。有关2025年1月补丁星期二更新中解决的漏洞的完整列表，请参阅此处提供的完整报告。