当前位置:首页 > 网络安全 > 安全通告 > 详情
【重大】【安全预警】微软2025年9月补丁日多产品安全漏洞预警
2025年09月10日   
微软 2025 年 9 月补丁日多产品安全漏洞预警

1、基本情况

近日,监测发现微软发布了 2025 年 9 月安全更新,涉及以下应用 Windows NTLM,Microsoft Office,Windows Hyper-V, WindowsNTFS,Windows SMB, Windows TCP/IP 驱动,Windows Kernel,Microsoft Edge,Microsoft Graphics Component,MicrosoftOffice SharePoint 等。

本次更新共修复了 86 个漏洞,漏洞类型包括安全功能绕过漏洞、权限提升漏洞、远程代码执行漏洞、内核信息泄露漏洞等。

对此,建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。

2、漏洞详情

CVE-2025-54918:Windows NTLM 权限提升漏洞

Windows NTLM 中存在身份验证缺陷允许已授权的攻击者通过网络提升权限。

CVE-2025-54910:Microsoft Office 远程代码执行漏洞

Microsoft Office 中存在基于堆的缓冲区溢出漏洞,允许未经授权的攻击者在本地执行代码。

CVE-2025-55224、CVE-2025-55228:Windows Hyper-V 远程代码执行漏洞
 
Microsoft Office 中的释放后使用漏洞允许未经授权的攻击者在本地执行代码。

CVE-2025-55226:Windows 图形内核远程代码执行漏洞

Windows 图形内核中使用共享资源时存在同步不当(“竞争条件”)的并发执行漏洞,允许授权攻击者在本地执行代码。

CVE-2025-55236:Windows 图形内核远程代码执行漏洞

Windows 图形内核中的检查时间与使用时间(toctou)竞争条件漏洞,允许授权攻击者在本地执行代码。

CVE-2025-53800:Windows 图形组件权限提升漏洞
 
Microsoft 图形组件中存在资源初始化错误漏洞,允许经过授权的攻击者在本地提升权限。

CVE-2025-53804:Windows 内核模式驱动程序信息泄露漏洞

Windows 内核中存在将敏感信息暴露给未授权用户的问题,允许授权攻击者在本地泄露敏感信息。

CVE-2025-53803:Windows 内核内存信息泄露漏洞

Windows 内核中在特定情况下的报错信息可能包含敏感信息,该漏洞允许授权攻击者在本地泄露信息。

CVE-2025-55234:Windows SMB 权限提升漏洞

Windows SMB 服务器可能因配置问题而易受中继攻击。攻击者若成功利用这些漏洞,可实施中继攻击,使用户面临权限提升攻击的风险。该漏洞已公开披露。
 
CVE-2025-54098:Windows Hyper-V 权限提升漏洞

Windows Hyper-V 中存在访问控制不当的问题,允许经过授权的攻击者在本地提升权限。

CVE-2025-54916:Windows NTFS 远程代码执行漏洞

Windows NTFS 中的栈缓冲区溢出漏洞允许授权攻击者在本地执行代码。

CVE-2025-54093:Windows TCP/IP 驱动程序权限提升漏洞

Windows TCP/IP 中存在检查时间与使用时间(ToCTOU)竞争条件漏洞,允许授权攻击者在本地提升权限。

CVE-2025-54110:Windows 内核权限提升漏洞

Windows 内核中的整数溢出或环绕漏洞允许授权攻击者在本地提升权限。

3、影响范围

Windows,Windows NTLM,Microsoft Office,Windows HyperV, Windows NTFS,Windows SMB, Windows TCP/IP 驱动,WindowsKernel, Microsoft Edge,Microsoft Graphics Component,Microsoft Office SharePoint 等

4、处置建议

升级版本目前微软已发布相关安全更新,建议受影响的用户尽快修复。

(一) Windows Update 自动更新
 
Microsoft Update 默认启用,当系统检测到可用更新时,将会自动下载更新并在下一次启动时安装。也可选择通过以下步骤手动进行更新:

1、点击“开始菜单”或按 Windows 快捷键,点击进入“设置”

2、选择“更新和安全”,进入“Windows 更新”(Windows Server 2012 以及 Windows Server 2012 R2 可通过控制面板进入“Windows 更新”,具体步骤为“控制面板”->“系统和安全”->“Windows 更新”)

3、选择“检查更新”,等待系统自动检查并下载可用更新。

4、更新完成后重启计算机,可通过进入“Windows 更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的 SSU 名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。

(二) 手动安装更新

Microsoft 官方下载相应补丁进行更新。

2025 年 9 月安全更新下载链接:https://msrc.microsoft.com/update-guide/releaseNote/2025-Sep

5、参考链接

1) https://msrc.microsoft.com/update-guide/releaseNote/2025-Sep