政府电脑保安事故协调中心 - 高危保安警报 (A25-01-07): Microsoft 产品多个漏洞 (2025年1月)

描述:

Microsoft 发布了安全性更新，以应对影响数个 Microsoft 产品或元件的多个漏洞。有关安全性更新的列表，请参考以下网址:
https://msrc.microsoft.com/update-guide/releaseNote/2025-Jan

有报告指 Microsoft Windows 及 Server 的权限提升漏洞 (CVE-2025-21333、CVE-2025-21334 及 CVE-2025-21335) 正受到攻击。Microsoft Windows 及 Server 以及 Microsoft Office、Access 及 365 Apps for Enterprise 的漏洞 (CVE-2025-21186、CVE-2025-21275、CVE-2025-21308、CVE-2025-21366 及 CVE-2025-21395) 的技术详情亦已被公开。另外，Microsoft Windows 及 Server 的多个漏洞 (CVE-2025-21298、CVE-2025-21307 及 CVE-2025-21311) 亦正处于被攻击的高风险。系统管理员及用户应立即採取行动修补受影响的系统，以降低网络攻击的风险。

受影响的系统:

Microsoft Windows 10、11
Microsoft Windows Server 2008、2008 R2、2012、2012 R2、2016、2019、2022、2022、23H2 Edition、2025
Microsoft Edge 131.0.2903.147 之前的版本
Microsoft Office 2016、2019、LTSC 2021、LTSC 2024、LTSC for Mac 2021、LTSC for Mac 2024
Microsoft Office for Android、for iOS、for Mac、for Universal
Microsoft Excel 2016
Microsoft Outlook 2016
Microsoft Outlook for Mac
Microsoft 365 Apps for Enterprise
Microsoft Access 2016
Microsoft SharePoint Enterprise Server 2016
Microsoft SharePoint Server 2019、 Subscription Edition
Microsoft Visual Studio 2017、2019、2022
Microsoft .NET Framework 3.5、4.6、4.6.2、4.7、4.7.1、4.7.2、4.8、4.8.1
安装了.NET 8.0、安装了 8.0 的 Linux、安装了 8.0 的 Mac OS、安装了 9.0、安装了 9.0 的 Linux、安装了 9.0 的 Mac OS
Microsoft AutoUpdate for Mac
Microsoft OneNote for Mac
Office Online Server
On-Premises Data Gateway
Power Automate for Desktop

影响:

成功利用漏洞可以在受影响的系统导致远端执行程式码、服务被拒绝、权限提升、泄漏资讯、绕过保安功能或仿冒诈骗。

建议:

受影响系统的修补程式可在 Windows Update 或 Microsoft Update Catalog 获取。受影响系统的系统管理员及用户应遵从供应商的建议，立即採取行动以降低风险。

进一步资讯:

https://msrc.microsoft.com/update-guide/releaseNote/2025-Jan
https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security#january-10-2025
https://www.hkcert.org/tc/security-bulletin/microsoft-monthly-security-update-january-2025
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-7344
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-50338
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-0291
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-21171 (to CVE-2025-21173)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-21176
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-21178
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-21186 (to CVE-2025-21187)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-21189
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-21193
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-21202
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-21207
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-21210 (to CVE-2025-21211)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-21213 (to CVE-2025-21215)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-21217 (to CVE-2025-21220)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-21223 (to CVE-2025-21246)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-21248 (to CVE-2025-21252)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-21255 (to CVE-2025-21258)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-21260 (to CVE-2025-21261)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-21263
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-21265 (to CVE-2025-21266)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-21268 (to CVE-2025-21278)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-21280 (to CVE-2025-21282)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-21284 (to CVE-2025-21321)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-21323 (to CVE-2025-21324)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-21326 (to CVE-2025-21336)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-21338 (to CVE-2025-21341)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-21343 (to CVE-2025-21346)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-21348
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-21354
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-21356 (to CVE-2025-21357)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-21360 (to CVE-2025-21366)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-21370
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-21372
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-21374
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-21378
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-21382
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-21389
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-21393
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-21395
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-21402 (to CVE-2025-21403)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-21405
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-21409
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-21411
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-21413
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-21417

标签 : Microsoft , Windows , Windows Server , Windows Edge , Microsoft Office , Excel , Outlook , Microsoft 365 Apps , Access , SharePoint , Visual Studio , .NET , AutoUpdate , OneNote , Office Online Server , On-Premises Data Gateway , Power Automate