摘要：微软在2025年3月的补丁星期二发布了重要的安全更新，修复了57个漏洞，其中包括六个被归类为积极利用的零日漏洞，显示出对用户的重大风险。本月更新解决了23个权限提升漏洞、23个远程代码执行漏洞、4个信息泄露漏洞等多个类别。零日漏洞中，有一个涉及Windows

微软在2025年3月的补丁星期二发布了重要的安全更新，修复了57个漏洞，其中包括六个被归类为积极利用的零日漏洞，显示出对用户的重大风险。本月更新解决了23个权限提升漏洞、23个远程代码执行漏洞、4个信息泄露漏洞等多个类别。零日漏洞中，有一个涉及Windows NTFS缺陷，允许本地攻击者通过竞争条件获取SYSTEM权限。其他修复的关键漏洞包括针对Windows NTFS的信息泄露和Windows Fast FAT文件系统驱动的远程代码执行漏洞。这些漏洞强调了及时更新的重要性，特别是公开披露的CVE-2025-26630，可能通过网络钓鱼等手段被利用。完整的漏洞列表可在微软的在线报告中查看。

今天是微软2025年3月的补丁星期二，发布了重要的安全更新，修复了总计57个漏洞。其中，有六个被归类为积极利用的零日漏洞，表明它们对用户构成了重大风险。本月的更新还解决了六个被分类为“关键”的漏洞，所有这些都是远程代码执行漏洞。不同类别漏洞的详细分解如下：23个权限提升漏洞、3个安全功能绕过漏洞、23个远程代码执行漏洞、4个信息泄露漏洞、1个拒绝服务漏洞以及3个欺骗漏洞。值得注意的是，这些数字并不包括海洋者缺陷或本月早些时候修复的10个Microsoft Edge漏洞。

本月，微软修复了总计六个积极利用的零日漏洞和一个公开曝光的漏洞，使零日漏洞总数达到了七个。微软将零日漏洞定义为已公开披露或在没有官方修复的情况下被积极利用的漏洞。值得一提的是，这些零日漏洞中有一些与Windows NTFS缺陷有关，涉及挂载虚拟硬盘（VHD）驱动。今天更新中解决的漏洞包括CVE-2025-24983，这是一个Windows Win32内核子系统权限提升漏洞，允许本地攻击者通过竞争条件在设备上获得SYSTEM权限。尽管微软尚未披露该缺陷被利用的具体细节，但它是由ESET的Filip Jurčacko发现的，预计在未来的报告中会有更多信息。

还有其他几个漏洞也被识别并已得到修复。例如，CVE-2025-24984是一个Windows NTFS信息泄露漏洞，攻击者可以通过插入恶意USB驱动器对具有物理访问权限的设备进行利用，从而读取堆内存的部分内容并提取敏感信息。另一个关键漏洞CVE-2025-24985涉及Windows Fast FAT文件系统驱动，由于整数溢出或回绕导致远程代码执行，这可以在用户挂载特制的VHD时触发。微软表示，这些漏洞是匿名披露的，强调了应用更新的重要性。此外，公开披露的零日漏洞CVE-2025-26630与Microsoft Access有关，由于使用后释放内存的缺陷，可以通过网络钓鱼或社会工程学手段进行利用。有关2025年3月补丁星期二更新中解决的漏洞的完整列表，请参考在线发布的完整报告。

来源：老孙科技前沿