Zero Day Initiative — 2025 年 2 月安全更新综述

2025 年 2 月 11 日 | Dustin Childs

我们刚刚经历了 Pwn2Own 汽车黑客大赛，迎来了 2025 年第二个补丁星期二。微软和 Adobe 如期发布了最新安全补丁。本文将详细解析这些安全更新的技术细节。

Adobe 2025 年 2 月补丁

本月 Adobe 发布了 7 个公告，修复了 45 个 CVE 漏洞，涉及 InDesign、Commerce、Substance 3D Stager、InCopy、Illustrator、Substance 3D Designer 和 Photoshop Elements。其中 Commerce 的更新最大，修复了 31 个 CVE。

关键修复包括：

• InDesign 修复 7 个漏洞（4 个严重级）

• Illustrator 修复 3 个可导致恶意文件执行任意代码的严重漏洞

• Substance 3D Stager 修复 1 个 DoS 漏洞

• InCopy 和 Substance 3D Designer 各修复 1 个严重级代码执行漏洞

• Photoshop Elements 修复 1 个重要级权限提升漏洞

所有漏洞在发布时均未被公开披露或活跃利用。Adobe 将这些更新的部署优先级评为 3 级。

微软 2025 年 2 月补丁

微软本月发布了 57 个新 CVE，涉及：

• Windows 及组件

• Office 及组件

• Azure

• Visual Studio

• 远程桌面服务

其中 4 个为严重级，52 个为重要级，1 个为中等级。两个漏洞已被公开披露，另外两个正被活跃利用。

重点漏洞分析

正在被利用的漏洞：

1. CVE-2025-21391 - Windows 存储权限提升漏洞

2. 攻击者可删除目标文件实现权限提升，需与代码执行漏洞配合使用。首次公开发现该技术被利用。

3. CVE-2025-21418 - Windows WinSock 辅助功能驱动权限提升漏洞

4. 认证用户可通过特制程序获得 SYSTEM 权限，通常与其他代码执行漏洞配合使用。

其他关键漏洞：

• CVE-2025-21376 - Windows LDAP 远程代码执行漏洞

• 无需认证即可通过恶意请求实现远程代码执行，具有蠕虫传播潜力。

• CVE-2025-21387 - Microsoft Excel 远程代码执行漏洞

• 可通过预览窗格或打开恶意文件触发，需安装多个补丁才能完全防护。

完整 CVE 列表

技术细节深度分析

代码执行漏洞：

• DHCP 服务器漏洞(CVE-2025-21379)需中间人攻击，利用难度高

• SharePoint 漏洞(CVE-2025-21400)需站点创建权限

• 高性能计算包漏洞(CVE-2025-21198)可攻击集群节点

权限提升漏洞：

• Windows Installer 漏洞(CVE-2025-21373)可绕过重定向防护，通过 NTFS 格式 U 盘获得 SYSTEM 权限

• macOS 版 AutoUpdate 漏洞(CVE-2025-24036)可获得 root 权限

安全特性绕过：

• 内核漏洞(CVE-2025-21359)可绕过 UAC 提示，标志微软改变了 UAC 不是安全边界的原有立场

修复建议

1. 优先修复 2 个被活跃利用的权限提升漏洞

2. 及时部署 LDAP 蠕虫级漏洞补丁

3. Office 用户需完整安装所有相关更新

4. 集群环境重点检查 HPC 补丁

下次补丁星期二将在 2025 年 3 月 11 日。在此期间，请保持系统更新，确保重启顺利。更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）公众号二维码

办公AI智能小助手