Microsoft发布了8月补丁星期二的更新,解决了其产品上107个新的安全漏洞,尚未确认主动利用。
Microsoft的8月补丁周二发布推出了一套全面的安全更新,在各种Microsoft产品和服务中总共修补了107个不同的漏洞。微软指出,在更新发布时,野外没有积极利用这些确定的漏洞。微软的下一个预定补丁是2025年9月9日。
在Windows操作系统的受支持版本中找到了很大一部分,特别是67个漏洞,尤其是67个。其中包括Windows 10,Windows 11和Windows Server。重要的是要注意,Windows 7和Windows 8.1用户在延长期间尚未收到安全更新,从而使这些系统可能脆弱。建议在这些较旧的操作系统的用户升级到Windows 11 24H2,只要满足其系统要求,以确保继续安全更新接收。
Windows中确定的关键漏洞包括CVE-2025-53766和CVE-2025-50165。 CVE-2025-53766是影响图形设备接口API的远程代码执行(RCE)缺陷,该漏洞由图形应用程序使用。 CVE-2025-50165是另一个位于Windows Graphics组件内的RCE漏洞。利用这些漏洞中的任何一个都可以允许攻击者在系统上注入和执行任意代码,而无需用户交互。对于CVE-2025-53766,仅访问专门制作的网站就足以进行攻击。对于CVE-2025-50165,攻击者可以通过创建嵌入网页中的恶意图像来实现代码执行。
微软还将Hyper-V中的三个漏洞分类为关键。 CVE-2025-48807是RCE漏洞,如果利用该漏洞,可以从访客虚拟机上启用主机系统执行代码。 CVE-2025-53781是一个数据泄漏漏洞,可能允许未经授权访问机密信息。 CVE-2025-49707是一个欺骗脆弱性,可以使虚拟机在与外部系统的通信过程中模仿不同的身份。
路由和远程访问服务(RRAS)有12个漏洞,所有漏洞都被归类为高风险。其中一半是RCE漏洞,而另一半是数据泄漏漏洞。以前已经公开了一个漏洞,即Kerberos的CVE-2025-53779,用于Windows Server 2025。这种漏洞被微软归类为中型风险,可以使攻击者能够在特定条件下获得域的管理员权利。
在Microsoft Office产品家族中,固定了18个漏洞,其中包括16个RCE漏洞。这些RCE漏洞中的四个(其中两个专门用文字)被Microsoft指定为至关重要的,因为预览窗口用作攻击向量。这意味着仅通过在预览窗格中显示恶意文件就可以发生利用,而无需用户单击或打开文件即可。其余的办公室漏洞被归类为高风险,通常要求用户打开专门准备的文件以执行利用代码。
边缘浏览器还收到了安全更新。 Edge版本139.0.3405.86于8月7日发布,建于Chromium 139.0.7258.67上,并纳入了Chromium Base中存在的多个漏洞的修复程序。 Android的Edge版本139.0.3405.86稍后发布,并合并了边缘浏览器特定的两个漏洞的修复程序。
