微软周二发布了针对至少 126 个 Windows 漏洞的紧急更新，其中包括 Windows 通用日志文件系统 (CLFS) 中被标记为“被积极利用”的零日漏洞。

微软发布了安全补丁，以解决影响其软件产品的126 个漏洞，其中包括一个据称已被广泛利用的漏洞。

在126个漏洞中，11个被评为“严重”，112个被评为“重要”，2个被评为“低”。其中49个漏洞被归类为权限提升漏洞，34个漏洞被归类为远程代码执行漏洞，16个漏洞被归类为信息泄露漏洞，14个漏洞被归类为拒绝服务 (DoS) 漏洞。

此次更新是自上个月补丁星期二发布以来该公司在其基于 Chromium 的 Edge 浏览器中修复的22 个漏洞之外的更新。

该漏洞已被标记为受到主动攻击，是一个影响 Windows 通用日志文件系统 (CLFS) 驱动程序的特权提升 (EoP) 缺陷 ( CVE-2025-29824，CVSS 评分：7.8)，源于释放后使用场景，允许授权攻击者在本地提升特权。

CVE-2025-29824 是自 2022 年以来在同一组件中发现的第六个被野外利用的EoP 漏洞，其他五个漏洞分别是 CVE-2022-24521、CVE-2022-37969、CVE-2023-23376、CVE-2023-28252 和 CVE-2024-49138（CVSS 评分：7.8）。

Tenable 高级研究工程师 Satnam Narang 表示：“从攻击者的角度来看，入侵后的活动需要获得必要的权限，才能在受感染的系统上进行后续活动，例如横向移动。”

因此，特权提升漏洞通常在针对性攻击中很常见。然而，多年来，CLFS 中的特权提升漏洞在勒索软件运营商中变得尤为流行。

Action1 总裁兼联合创始人 Mike Walters表示，该漏洞允许权限升级到系统级别，从而使攻击者能够安装恶意软件、修改系统设置、篡改安全功能、访问敏感数据并保持持续访问。

Immersive 首席网络安全工程师 Ben McCarthy 表示：“这个漏洞尤其令人担忧，因为微软已确认该漏洞已被广泛利用，但目前尚未针对 Windows 10 32 位或 64 位系统发布任何补丁。缺乏补丁给 Windows 生态系统的广泛用户带来了严重的防御漏洞。”

在某些内存操作条件下，可以触发释放后重用漏洞，攻击者可利用该漏洞在 Windows 中以最高权限执行代码。重要的是，攻击者无需管理员权限即可利用此漏洞，只需本地访问即可。

据微软称，该漏洞的主动利用与针对少数目标的勒索软件攻击有关。这一进展促使美国网络安全和基础设施安全局 (CISA) 将其添加到已知可利用漏洞 ( KEV ) 目录中，要求联邦机构在 2025 年 4 月 29 日之前应用修复程序。

雷德蒙德本月修补的其他一些值得注意的漏洞包括影响 Windows Kerberos 的安全功能绕过 (SFB) 漏洞 ( CVE-2025-29809 )，以及 Windows 远程桌面服务 ( CVE-2025-27480、CVE-2025-27482 ) 和 Windows 轻量级目录访问协议 ( CVE-2025-26663、CVE-2025-26670 )中的远程代码执行漏洞。

另外值得注意的是 Microsoft Office 和 Excel 中存在多个严重远程代码执行漏洞（CVE-2025-29791、CVE-2025-27749、CVE-2025-27748、CVE-2025-27745和CVE-2025-27752），不良行为者可以使用特制的 Excel 文档利用这些漏洞，从而实现完全的系统控制。

严重漏洞列表中排名靠前的分别是影响 Windows TCP/IP（CVE-2025-26686）和 Windows Hyper-V（CVE-2025-27491）的两个远程代码执行漏洞，这些漏洞可能允许攻击者在特定条件下通过网络执行代码。

值得注意的是，Windows 10 尚未发布多个漏洞的补丁。微软表示，更新将“尽快发布，发布后将通过修订此 CVE 信息通知客户”。

微软于2025年4月补丁星期二发布了针对该安全漏洞的修复程序，并警告称，已观察到威胁行为者利用该漏洞攻击美国、委内瑞拉、西班牙和沙特阿拉伯的组织。该漏洞利用的是曾用于勒索软件攻击的PipeMagic恶意软件。

Android 更新修复了两个被利用的漏洞

谷歌周一推出了 Android 2025 年 4 月安全更新，解决了两个已被广泛利用的内核漏洞。

这些漏洞被追踪为 CVE-2024-53150 和 CVE-2024-53197，影响ALSA：usb-audio组件，并于 2024 年 12 月在 Linux 内核中得到解决。

谷歌在其公告中指出，这两个安全缺陷“可能受到有限的、有针对性的利用”，但没有提供更多信息。

然而，今年 2 月，国际特赦组织透露，Cellebrite 的移动取证工具利用 CVE-2024-53197从一名塞尔维亚学生活动家的设备中提取数据。

该工具被发现利用了另外两个漏洞，即 CVE-2024-53104 和 CVE-2024-50302，这两个漏洞分别于2 月和3 月在 Android 中得到解决。利用这些类型的漏洞需要通过 USB 对设备进行物理访问，并能够从锁定的智能手机中提取数据。 

值得注意的是，在 Google 发布公告之前，尚未有 CVE-2024-53150 被利用于攻击的报告。然而，根据安全和隐私为重点的移动操作系统GrapheneOS的开发人员的说法，鉴于该漏洞与 CVE-2024-53197 相似，该漏洞很可能是 Cellebrite 利用的同一批漏洞的一部分。

除了这两个缺陷之外，Android 2025 年 4 月的更新还解决了大约 60 个其他问题，包括 Project Mainline 组件中的三个错误。

据谷歌称，这些安全缺陷中最严重的是 CVE-2025-26416，这是系统组件中的特权提升漏洞，影响 Android 13、14 和 15。

“这些问题中最严重的是系统组件中的一个严重安全漏洞，该漏洞可能导致远程特权升级，而无需额外的执行特权。利用该漏洞不需要用户交互，”该互联网巨头解释道。

该漏洞已在 Android 2025-04-01 安全补丁级别中得到解决，该补丁修复了 28 个漏洞，分别位于框架和系统组件中。另外两个问题被评为“严重”。

本月更新的第二部分以2025-04-05 安全补丁级别出现在设备上，并解决了 Kernel、Arm、Imagination Technologies、MediaTek 和 Qualcomm 组件中的 31 个漏洞。

谷歌周一宣布，本月针对 Automotive OS 和 Wear OS 的更新中不包含任何针对这些操作系统的安全补丁——更新仍然包含常规的 Android 补丁。

建议用户将其设备更新到安全补丁级别 2025-04-05，其中包含对 2025 年 4 月 Android 安全公告中所有漏洞的修复。

Ivanti、VMware、Zoom 修补的漏洞 

周二，Ivanti、VMware 和 Zoom 宣布修复其产品中的数十个漏洞，其中包括许多高严重性漏洞。

Ivanti 发布了安全更新，解决了 Endpoint Manager 中的六个漏洞，其中包括一个高严重性安全缺陷 (CVE-2025-22466)，该缺陷允许未经身份验证的攻击者执行 XSS 攻击以获取管理员权限。

另外两个经过验证的高严重性漏洞也得到了解决：CVE-2025-22458，一个导致权限提升的 DLL 劫持问题；以及 CVE-2025-22461，一个导致代码执行的 SQL 注入问题。

Ivanti 表示，没有证据表明这些漏洞正在被利用，并强调其他 Ivanti 产品并未受到影响。

周二，VMware Tanzu 云原生应用平台修复了 47 个漏洞，其中包括VMware Tanzu Greenplum Backup and Restore 中的29 个问题以及VMware Tanzu Greenplum 各个组件中的 18 个错误。

所有 47 个 CVE（其中一些大约在三年前分配）都影响受影响应用程序中使用的各种依赖项。其中 10 个已修补的漏洞被评为“严重”。

Zoom 于 4 月 8 日发布了三条安全公告，解决了其在 Windows、Linux、macOS、iOS 和 Android 上的 Workplace 应用程序中的六个缺陷。

该公告描述了 Workplace 应用程序中的两个中等严重程度的跨站点脚本 (XSS) 漏洞、Windows 版 Workplace 应用程序中的三个中等严重程度的拒绝服务 (DoS) 漏洞以及 Windows 版 Workplace 应用程序中的低严重程度的完整性丧失问题。

同样在周二，谷歌宣布发布适用于 Windows 和 macOS 的 Chrome 版本 135.0.7049.84/.85 以及适用于 Linux 的版本 135.0.7049.84，其中包含两个漏洞的补丁，包括外部报告的站点隔离中高严重性使用后释放漏洞，为此谷歌支付了 4,000 美元的漏洞赏金。

微软补丁日系列回顾