本周，微軟2025年4月補(bǔ)丁星期二發(fā)布134個(gè)漏洞安全更新，其中包括一個(gè)主動(dòng)利用的零日漏洞。此外，還修復(fù)了11個(gè)“關(guān)鍵”漏洞。

每個(gè)漏洞類別的漏洞數(shù)量如下：

·49個(gè)特權(quán)提升漏洞

·9個(gè)安全特性繞過(guò)漏洞

·31個(gè)遠(yuǎn)程代碼執(zhí)行漏洞

·17個(gè)信息泄露漏洞

·14個(gè)拒絕服務(wù)漏洞

·3個(gè)欺騙漏洞

上述數(shù)字不包括Mariner漏洞和本月早些時(shí)候修復(fù)的13個(gè)微軟Edge漏洞。

一個(gè)積極利用零日

修復(fù)的被積極利用的零日漏洞，微軟將其歸類為公開披露或被積極利用，而沒有官方修復(fù)。

在最近的更新中，積極利用的零日漏洞是：CVE-2025-29824 - Windows通用日志文件系統(tǒng)驅(qū)動(dòng)程序權(quán)限提升漏洞。微軟表示，這個(gè)漏洞允許本地攻擊者獲得設(shè)備/上的SYSTEM特權(quán)。

安全更新目前只適用于Windows Server和Windows 11，微軟稍后會(huì)發(fā)布Windows 10更新。

微軟解釋說(shuō)：“針對(duì)x64系統(tǒng)的Windows 10和針對(duì)32位系統(tǒng)的Windows 10的安全更新不會(huì)立即可用。”

更新將盡快發(fā)布，當(dāng)它們可用時(shí)，客戶將通過(guò)此CVE信息的修訂得到通知。在這篇文章發(fā)表后，微軟還會(huì)分享關(guān)于RansomEXX勒索軟件團(tuán)伙如何利用該漏洞作為零日漏洞來(lái)獲得更高權(quán)限的更多細(xì)節(jié)。

參考及來(lái)源：https://www.bleepingcomputer.com/news/microsoft/microsoft-april-2025-patch-tuesday-fixes-exploited-zero-day-134-flaws/