8月12日微软发布每月例行更新(Patch Tuesday),总共修补111项漏洞,数量较上个月130个有所下降。从漏洞的类型来看,权限提升(EoP)漏洞最多,有44个,其次是远程程序代码执行(RCE)漏洞,有35个;其余为资讯泄露、可被用于欺骗的漏洞、拒绝服务(DoS),以及能用来篡改的漏洞,分别有18个、9个、4个、1个。
根据漏洞的严重程度而言,有17个被评为重大层级,数量是今年最多的一次,其中9个是RCE漏洞、4个是资讯泄露漏洞、3个是权限提升漏洞,以及1个能被用于欺骗的漏洞。
值得留意的是,这次有一个是在修补之前就被公开的Kerberos零时差权限提升漏洞CVE-2025-53779,微软指出为相对路径穿越(CWE-23)类型的弱点,通过身份验证的攻击者有机会借此取得域名管理员权限,CVSS风险评为7.2。特别的是,他们提到攻击者利用漏洞的前提,是必须提升“委派管控服务账号(Delegated Managed Service Account,dMSA)”特定属性的访问权限。
针对上述漏洞,微软并未透露太多细节,安全新闻网站Bleeping Computer提及,该漏洞的通报者是Akamai安全研究员Yuval Gordon,他曾在5月份公布一项dMSA权限提升漏洞BadSuccessor。两者之间是否有关,有待进一步厘清。
由于这次重大层级的漏洞相当多,甚至出现满分漏洞CVE-2025-53767,此为出现于Azure OpenAI的服务器伪造请求(SSRF)形态弱点,可被用于权限提升,但长期观察、分析微软每月例行更新的安全企业Rapid7、漏洞悬赏项目Zero Day Initiative(ZDI),皆提出警告,他们认为有几项重大层级的RCE漏洞特别值得留意。
其中,Rapid7与ZDI不约而同提及两项风险值达到9.8分的漏洞,它们分别是Windows图形组件漏洞CVE-2025-50165,以及GDI+漏洞CVE-2025-53766。此外,Rapid7认为DirectX图形核心RCE漏洞CVE-2025-50176也需要注意;ZDI也对Office漏洞CVE-2025-53731、CVE-2025-53740,以及SharePoint漏洞CVE-2025-49712,提出警告。
