转载于：火绒安全公众号内容

微软官方发布了2025年09月的安全更新。本月更新公布了86个漏洞，包含41个特权提升漏洞、22个远程执行代码漏洞、16个信息泄露漏洞、3个拒绝服务漏洞、3个安全功能绕过漏洞、1个身份假冒漏洞，其中13个漏洞级别为“Critical”（高危），72个为“Important”（严重），1个为“Moderate”（中等）。建议用户及时使用火绒安全软件(个人/企业)【漏洞修复】功能更新补丁。

涉及组件

• Azure Arc

• Azure Windows Virtual Machine Agent

• Capability Access Management Service (camsvc)

• Graphics Kernel

• Microsoft AutoUpdate (MAU)

• Microsoft Brokering File System

• Microsoft Edge (Chromium-based)

• Microsoft Graphics Component

• Microsoft High Performance Compute Pack (HPC)

• Microsoft Office

• Microsoft Office Excel

• Microsoft Office PowerPoint

• Microsoft Office SharePoint

• Microsoft Office Visio

• Microsoft Office Word

• Microsoft Virtual Hard Drive

• Role: Windows Hyper-V

• SQL Server

• Windows Ancillary Function Driver for WinSock

• Windows BitLocker

• Windows Bluetooth Service

• Windows Connected Devices Platform Service

• Windows Defender Firewall Service

• Windows DWM

• Windows Imaging Component

• Windows Internet Information ServicesWindows Kernel

• Windows Local Security Authority Subsystem Service (LSASS)

• Windows Management Services

• Windows MapUrlToZone

• Windows MultiPoint Services

• Windows NTFS

• Windows NTLM

• Windows PowerShell

• Windows Routing and Remote Access Service (RRAS)

• Windows SMB

• Windows SMBv3 Client

• Windows SPNEGO Extended Negotiation

• Windows TCP/IP

• Windows UI XAML Maps MapControlSettings

• Windows UI XAML Phone DatePickerFlyout

• Windows Win32K – GRFX

• Xbox

以下漏洞需特别注意

Windows NTLM 身份验证不当权限提升漏洞  CVE-2025-53778

严重级别：高危 CVSS：8.8

被利用级别：很有可能被利用

此漏洞无需用户交互。该漏洞源于 NTLM 协议实现过程中对身份验证流程的校验不足。攻击者在具备一定网络位置或低权限账户的情况下，可通过会话中继、响应伪造或消息重放等操作，获得 SYSTEM 权限。

Windows内核特权提升漏洞  CVE-2025-54110

严重级别：严重CVSS：8.8

被利用级别：很有可能被利用

该漏洞无需用户交互就能被攻击。它是Windows内核里的一个问题，涉及到整数溢出和回绕。如有用户权限很低，他们可以通过这个漏洞来操控内核内存，并把权限提高到最高级别的SYSTEM。若被成功利用了这个漏洞，攻击者就能获得系统最高权限。

Microsoft 图形组件远程代码执行漏洞  CVE-2025-50165

严重级别：高危 CVSS：9.8

被利用级别：有可能被利用

此漏洞无需用户交互。该漏洞源于图形组件在处理取消不受信任的指针引用操作时存在缺陷，可能导致异常控制流被攻击者劫持。攻击者可构造特制的图像或图形数据，在目标系统解析、预览或渲染此类内容时触发漏洞。成功利用此漏洞的攻击者可以在没有用户交互的情况下实现远程代码执行。

Windows GDI+ 堆缓冲区溢出远程代码执行漏洞  CVE-2025-53766

严重级别：高危 CVSS：9.8

被利用级别：有可能被利用

此漏洞无需用户交互。该漏洞源于 GDI + 在处理特制图像及图元数据时对长度和边界的检查不充分，可能导致解析过程中触发堆内存写越界。攻击者可通过投放恶意图片、嵌入文档或网络内容，诱使系统进行解码，进而实现在目标进程中执行任意代码。由于缩略图生成、图像预览和文档渲染都会触发解码，因此该漏洞的攻击面覆盖多种常见使用场景。成功利用此漏洞的攻击者，能够在无需用户交互的情况下实现远程代码执行或信息泄露。

Microsoft 消息队列 (MSMQ) 远程代码执行漏洞  CVE-2025-50177

严重级别：严重 CVSS：8.1

被利用级别：很有可能被利用

此漏洞无需用户交互。成功利用该漏洞的攻击者仅需向 MSMQ 服务器发送特制的恶意 MSMQ 数据包，即可在服务器端执行任意代码。

Windows Win32K 竞争条件本地权限提升漏洞  CVE-2025-53132

严重级别：严重 CVSS：8.0

被利用级别：很有可能被利用

成功利用此漏洞需要用户执行特定操作。该漏洞源于 Win32K 在内核对象并发处理与加锁顺序上存在的缺陷，导致从检查通过到实际执行之间有可被利用的时间差。攻击者可通过高频窗口或图形相关系统调用，在此时间差内篡改对象状态并绕过原有限制。成功利用此漏洞的攻击者可以获得 SYSTEM 权限。

修复建议

1、通过火绒个人版/企业版【漏洞修复】功能修复漏洞。