|
|
IT之家 3 月 13 日消息,斯洛伐克网络安全公司 ESET 昨日(3 月 12 日)发布博文,报道称微软在 2025 年 3 月的补丁星期二活动中,发布适用于 Windows 10 系统的累积更新,修复了 CVE-2025-24983 高危漏洞。
ESET 表示该漏洞存在于 Windows 10 系统的 Win32 内核子系统中,现有证据表明有黑客在 2023 年 3 月就利用该漏洞发起攻击,可通过低权限提升至 SYSTEM 权限,只是利用条件较为复杂。
IT之家援引博文介绍,该漏洞属于“释放后使用”(Use-After-Free)缺陷,黑客通过 PipeMagic 后门程序实施,可能导致软件崩溃、执行恶意代码、提升权限或损坏数据等。
该漏洞影响 Windows Server 2012 R2 和 Windows 8.1 等已终止支持的系统版本,以及 Windows Server 2016 和 Windows 10(版本 1809 及更早)等尚处于支持状态下的系统版本。
在 2025 年 3 月的“补丁星期二”中,微软还修复了以下五个被标记为“正在被利用”的零日漏洞:
CVE-2025-24984:Windows NTFS 信息泄露漏洞
CVE-2025-24985:Windows Fast FAT 文件系统驱动远程代码执行漏洞
CVE-2025-24991:Windows NTFS 信息泄露漏洞
CVE-2025-24993:Windows NTFS 远程代码执行漏洞
CVE-2025-26633:Microsoft 管理控制台安全功能绕过漏洞
美国网络安全与基础设施安全局(CISA)已将上述六个漏洞列入其“已知被利用漏洞目录”,并要求联邦文职行政分支(FCEB)机构在 4 月 1 日前完成修复。
CISA 强调,这些漏洞是网络攻击的常见载体,对联邦系统构成重大风险,并呼吁所有组织优先修复此类漏洞以降低攻击风险。 |
|
发表于 2025-8-1 18:49
收藏
