微软 2025 年 8 月补丁日多产品安全漏洞预警
1、基本情况
近日,监测发现微软发布了 2025 年 8 月安全更新,涉及以下应用 Windows,Azure,Microsoft Office,Microsoft VisualStudio,Microsoft 365 Apps,Teams Panels,Office OnlineServer,Microsoft Edge,Microsoft SharePoint,CBLMariner,Teams for D365 Guides Hololens,TeamsPhones,Microsoft SQL Server,Microsoft Dynamics,MicrosoftExchange Server,Teams for D365 Remote Assist HoloLens,AzureVM,Microsoft 365 Copilot's Business Chat,Web Deploy4.0,Microsoft Teams 等。
本次更新共修复了 111 个漏洞,漏洞类型包括安全功能绕过漏洞、远程代码执行漏洞、信息泄露漏洞、拒绝服务漏洞等。
对此,建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。
2、漏洞详情
CVE-2025-50165:Windows Graphics Component 远程代码执行
漏洞
该漏洞源于组件在处理特定图像格式(如 JPEG)时存在不受信任指针解引用的问题。当攻击者构造并通过网络传递一个恶意 JPEG图像时,组件在解码过程中会调用未初始化的函数指针,从而在无需任何用户交互的情况下触发远程代码执行。
CVE-2025-50171:Remote Desktop 身份伪造漏洞
该漏洞源于 Remote Desktop Server 在处理连接请求时缺失必要的身份验证与授权检查,导致攻击者可在未获得合法凭证的情况下,通过网络伪造身份与会话信息进行欺骗。一旦成功利用,该漏洞可能使攻击者冒充合法用户或服务,从而获取敏感信息、绕过访问控制,甚至为后续的入侵与持久化攻击铺平道路,严重威胁系统安全与网络环境的可信性。
CVE-2025-53766:GDI+远程代码执行漏洞
攻击者可通过网络传递精心构造的恶意图元文件,在目标系统或 Web 服务解析该文件时触发漏洞,实现远程代码执行或信息泄露。
CVE-2025-53767:Azure OpenAI 特权提升漏洞
Azure OpenAI 是微软在 Azure 云平台上提供的人工智能服务,允许用户通过安全可控的 API 接入并使用 OpenAI 的大语言模型和其他 AI 功能。本漏洞属于权限提升问题,可能在特定条件下使攻击者获得超出其原有权限的访问能力,从而执行未授权操作或访问敏感数据,潜在威胁包括数据泄露、模型滥用及资源篡改。
CVE-2025-53792:Azure Portal 特权提升漏洞
Azure Portal 是微软提供的基于 Web 的统一管理平台,供用户集中管理和监控 Azure 云中的各类资源与服务。本漏洞属于权限提升问题,可能允许攻击者在特定条件下获得高于其原有权限的访问能力,从而执行未授权操作或访问敏感数据。
CVE-2025-53793:Azure Stack Hub 信息泄露漏洞
在 Azure Stack Hub 中发现了一个因身份验证不当和路径遍历导致的漏洞。未经身份验证的攻击者可以利用此漏洞通过网络泄露系统内部配置信息。
CVE-2025-48807:Windows Hyper-V 远程代码执行漏洞
在 Windows Hyper-V 中发现了一个通信通道限制不当的漏洞。位于嵌套虚拟机上的授权攻击者可以利用此漏洞,在主机管理员执行特定操作时触发竞争条件,从而从虚拟机逃逸并在作为其主机的客户机上获得管理员权限并执行代码。
CVE-2025-53774:Microsoft 365 Copilot BizChat 信息泄露漏洞
在 Microsoft 365 Copilot BizChat 中发现了一个命令注入漏洞。未经身份验证的攻击者可以利用此漏洞泄露信息或执行部分命令。
3、影响范围
Windows,Azure,Microsoft Office,Microsoft VisualStudio,Microsoft 365 Apps,Teams Panels,Office OnlineServer,Microsoft Edge,Microsoft SharePoint,CBLMariner,Teams for D365 Guides Hololens,TeamsPhones,Microsoft SQL Server,Microsoft Dynamics,MicrosoftExchange Server,Teams for D365 Remote Assist HoloLens,AzureVM,Microsoft 365 Copilot's Business Chat,Web Deploy4.0,Microsoft Teams 等
4、处置建议
升级版本
目前微软已发布相关安全更新,建议受影响的用户尽快修复。
(一) Windows Update 自动更新
Microsoft Update 默认启用,当系统检测到可用更新时,将会自动下载更新并在下一次启动时安装。也可选择通过以下步骤手动进行更新:
1、点击“开始菜单”或按 Windows 快捷键,点击进入“设置”
2、选择“更新和安全”,进入“Windows 更新”(Windows Server 2012 以及 Windows Server 2012 R2 可通过控制面板进入“Windows 更新”,具体步骤为“控制面板”->“系统和安全”->“Windows 更新”)
3、选择“检查更新”,等待系统自动检查并下载可用更新。
4、更新完成后重启计算机,可通过进入“Windows 更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的 SSU 名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。
(二) 手动安装更新
Microsoft 官方下载相应补丁进行更新。
2025 年 8 月安全更新下载链接:
https://msrc.microsoft.com/update-guide/releaseNote/2025-Aug
5、参考链接
1) https://msrc.microsoft.com/update-guide/releaseNote/2025-Aug