Microsoft on julkaissut syyskuun 2025 korjaustiedoston tiistaina tietoturvapäivitykset, jotka koskevat yhteensä 81 haavoittuvuutta, mukaan lukien kaksi julkisesti julkistettua nollapäivän virhettä. Päivitykset sisältävät myös yhdeksän kriittisen haavoittuvuuden korjaukset, etäkoodin suorittamisen, tiedon julkistamisen ja etuoikeusongelmien korotuksen. Tässä korjaustiedostossa vahvistetut haavoittuvuudet luokitellaan seuraavasti:

  • 41 Etuoikeushaavoittuvuuden nousu
  • 2 Turvaominaisuuden ohitus haavoittuvuudet
  • 22 etäkoodin suorittamisen haavoittuvuudet
  • 16 Tietojen paljastamisen haavoittuvuudet
  • 3 Palvelun haavoittuvuuden kieltäminen
  • 1 huijaus haavoittuvuus

On tärkeää huomata, että 81 haavoittuvuuden lukumäärä sisältää vain tiistaina julkaistut korjaustiedot. Se ei kata kolmea Azurea, yksi Dynamics 365 Fasttrack -sovellusvarat, kaksi merimiehet, viisi Microsoft Edgeä ja yksi Xbox -haavoittuvuutta, joita käsiteltiin aiemmin syyskuussa. Tämän kuukauden laastari tiistaina käsittelee kahta julkisesti paljastavaa nollapäivän haavoittuvuutta:

  • CVE-2025-55234-Windows SMB: n etuoikeuden haavoittuvuuden korkeus: Tätä SMB -palvelimen virhettä voidaan hyödyntää relehyökkäysten avulla, jolloin hyökkääjät voivat suorittaa etuoikeushyökkäysten nousun. Microsoft selittää, että ”SMB -palvelin voi olla alttiita välityshyökkäyksille kokoonpanosta riippuen. Hyökkääjä, joka onnistuneesti hyödyntänyt näitä haavoittuvuuksia, voisi suorittaa relekäyttäjät ja tehdä käyttäjistä etuoikeushyökkäysten kohoamisen.” Windows sisältää asetuksia tämän lieventämiseksi, kuten SMB -palvelimen allekirjoittamisen ja SMB -palvelimen laajennetun suojan todennuksen (EPA) käyttöönotto. Microsoft myöntää kuitenkin, että näiden ominaisuuksien mahdollistaminen voi aiheuttaa yhteensopivuusongelmia vanhempien laitteiden kanssa. Hallinnoijoita kehotetaan antamaan SMB -palvelimien tilintarkastus mahdollisten ongelmien arvioimiseksi ennen näiden kovettumisominaisuuksien täytäntöönpanoa täysin. ”Osana 9. syyskuuta 2025 ja sen jälkeen julkaistuja Windows-päivityksiä (CVE-2015-55234) ja sen jälkeen tuki on käytössä SMB Client -yhteensopivuuden tarkastamiseen SMB-palvelimen allekirjoittamiselle sekä SMB Server EPA: lle”, Microsoft totesi. Tämän haavoittuvuuden lähde ja tutkijat ovat edelleen tunnustamattomia.
  • CVE-2024-21907-VulnCheck: CVE-201024-21907 Poikkeuksellisten olosuhteiden virheellinen käsittely Newtonsoft.json: Tämä Newtonsoft.jsonin läsnä oleva haavoittuvuus Microsoft SQL -palvelimessa sisältää poikkeuksellisten olosuhteiden väärinkäytön. Microsoft toteaa, että ”CVE-2014-21907 käsittelee poikkeuksellisten olosuhteiden haavoittuvuuden väärinkäyttöä Newtonsoft.jsonissa ennen versiota 13.0.1. Käsitellyt tiedot, jotka välitetään JSONCONVERT.DeserializeObject -menetelmään, voi laukaista pino-virtauksen poikkeuksen, joka johtaa palvelun kieltämiseen. kunto. ” SQL Server -päivitykset sisältävät päivitykset Newtonsoft.jsonissa tämän ongelman ratkaisemiseksi, joka julkistettiin julkisesti vuonna 2024.

Useat muut myyjät ovat myös julkaissut tietoturvapäivitykset ja neuvot syyskuussa 2025:

You Might Also Like
Wie können Sie feststellen, ob jemand Ihr Netflix- oder Spotify-Konto verwendet?
Wie können Sie feststellen, ob jemand Ihr Netflix- oder Spotify-Konto verwendet?
How to use Google Family Link?
Wie verwende ich Google Family Link?
WhatsApp lisää AI: n ”kirjoittaminen” viestien uudelleenmuokkaamiseen
WhatsApp lisää AI: n ”kirjoittaminen” viestien uudelleenmuokkaamiseen
  • Adobe: Julkaisi ”SessionReaper” -virheiden turvallisuuspäivitykset, jotka vaikuttavat Magento -verkkokauppaan.
  • Argo: Korjattu ARGO CD-haavoittuvuus, joka mahdollistaa matala-asteen sovellusliittymän rahakkeet API-päätepisteiden pääsyyn ja kaikki projektiin liittyvät arkistotiedot.
  • Cisco: Julkaistut laastarit Webexille, Cisco ASA: lle ja muille tuotteille.
  • Google: Julkaisi syyskuun Android -tietoturvapäivitykset, jotka osoittivat 84 haavoittuvuutta, mukaan lukien kaksi aktiivisesti hyväksikäytettyä virhettä.
  • MAHLA: Julkaistu syyskuun turvapäivitykset useille tuotteille, mukaan lukien korjaus NetWeaverin maksimaalisen vakavuuskomennon suorittamisvirhe.
  • Sitecore: Julkaistu nollapäivän haavoittuvuuden turvallisuuspäivitykset, joita seurattiin nimellä CVE-2015-53690, jota hyödynnettiin aktiivisesti hyökkäyksissä.
  • TP-Link: Vahvisti, että joissakin reitittimissä on uusi nollapäivä, kun yritys tutkii sen hyväksikäyttöä ja luomalla korjaustiedostoja yhdysvaltalaisille asiakkaille.

Seuraava on kattava luettelo Microsoftin ratkaistuista haavoittuvuuksista syyskuun 2025 korjaustiedoston tiistaina päivitykset:

  • Azure – verkottuminen | CVE-2025-54914 | Azure Networking Privilege -haavoittuvuuden nousu | Kriittinen
  • Azure ARC | CVE-2025-55316 | Azure kaari etuoikeuden haavoittuvuuden korkeus | Tärkeä
  • Azure Bot Service | CVE-2025-55244 | Azure Bot Service Kortaing of Privilege -haavoittuvuus | Kriittinen
  • Azure Enra | CVE-2025-55241 | Azure ENTRA -Etuoikeuden haavoittuvuuden korkeus | Kriittinen
  • Azure Windows Virtual Machine Agent | CVE-2025-49692 | Azure Connected Machine Agentin etuoikeuden haavoittuvuuden korkeus | Tärkeä
  • CAPAPIBY ACCESS Management Service (CAMSVC) | CVE-2025-54108 | CAPAPIBY ACCESS Management Service (CAMSVC) etuoikeuden haavoittuvuuden nousu | Tärkeä
  • Dynamics 365 FastTrack -toteutusvarat | CVE-2025-55238 | Dynamics 365 FastTrack -toteutusvarat Tietojen paljastaminen haavoittuvuus | Kriittinen
  • Grafiikkaydin | CVE-2025-55236 | Grafiikan ytimen etäkoodin suorituksen haavoittuvuus | Kriittinen
  • Grafiikkaydin | CVE-2025-55223 | DirectX Graphics ytimen korotus etuoikeuden haavoittuvuudesta | Tärkeä
  • Grafiikkaydin | CVE-2025-55226 | Grafiikan ytimen etäkoodin suorituksen haavoittuvuus | Kriittinen
  • Microsoft AutoPdate (MAU) | CVE-2025-55317 | Microsoft AutoPdate (MAU) etuoikeuden haavoittuvuuden nousu | Tärkeä
  • Microsoftin välitystiedostojärjestelmä | CVE-2025-54105 | Microsoftin välitystiedostojärjestelmän korotus etuoikeuden haavoittuvuuden | Tärkeä
  • Microsoft Edge (kromipohjainen) | CVE-2025-9866 | Kromi: CVE-2025-9866 sopimaton toteutus laajennuksissa | Tuntematon
  • Microsoft Edge (kromipohjainen) | CVE-2025-9867 | Kromi: CVE-2025-9867 sopimaton toteutus latauksissa | Tuntematon
  • Microsoft Edge (kromipohjainen) | CVE-2025-53791 | Microsoft Edge (kromipohjainen) tietoturvaominaisuuden ohitus haavoittuvuus | Kohtuullinen
  • Microsoft Edge (kromipohjainen) | CVE-2025-9864 | Kromi: CVE-2025-9864 Käytä ilmaisen jälkeen V8: ssa | Tuntematon
  • Microsoft Edge (kromipohjainen) | CVE-2025-9865 | Kromi: CVE-2025-9865 sopimattoman toteutus työkalurivillä | Tuntematon
  • Microsoftin grafiikkakomponentti | CVE-2025-53807 | Windowsin grafiikkakomponenttien korotus etuoikeuden haavoittuvuuden | Tärkeä
  • Microsoftin grafiikkakomponentti | CVE-2025-53800 | Windowsin grafiikkakomponenttien korotus etuoikeuden haavoittuvuuden | Kriittinen
  • Microsoft High Performance Compute Pack (HPC) | CVE-2025-55232 | Microsoft High Performance Compute (HPC) -paketti Remote -koodin suoritushaavoittuvuus | Tärkeä
  • Microsoft Office | CVE-2025-54910 | Microsoft Office Remote -koodin suorituksen haavoittuvuus | Kriittinen
  • Microsoft Office | CVE-2025-55243 | Microsoft OfficePlus huijaa haavoittuvuutta | Tärkeä
  • Microsoft Office | CVE-2025-54906 | Microsoft Office Remote -koodin suorituksen haavoittuvuus | Tärkeä
  • Microsoft Office Excel | CVE-2025-54902 | Microsoft Excel Remote -koodin suorittamisen haavoittuvuus | Tärkeä
  • Microsoft Office Excel | CVE-2025-54899 | Microsoft Excel Remote -koodin suorittamisen haavoittuvuus | Tärkeä
  • Microsoft Office Excel | CVE-2025-54904 | Microsoft Excel Remote -koodin suorittamisen haavoittuvuus | Tärkeä
  • Microsoft Office Excel | CVE-2025-54903 | Microsoft Excel Remote -koodin suorittamisen haavoittuvuus | Tärkeä
  • Microsoft Office Excel | CVE-2025-54898 | Microsoft Excel Remote -koodin suorittamisen haavoittuvuus | Tärkeä
  • Microsoft Office Excel | CVE-2025-54896 | Microsoft Excel Remote -koodin suorittamisen haavoittuvuus | Tärkeä
  • Microsoft Office Excel | CVE-2025-54900 | Microsoft Excel Remote -koodin suorittamisen haavoittuvuus | Tärkeä
  • Microsoft Office Excel | CVE-2025-54901 | Microsoft Excel -tietojen paljastaminen haavoittuvuus | Tärkeä
  • Microsoft Office PowerPoint | CVE-2025-54908 | Microsoft PowerPoint Remote -koodin suorituksen haavoittuvuus | Tärkeä
  • Microsoft Office SharePoint | CVE-2025-54897 | Microsoft SharePoint Remote -koodin suorituksen haavoittuvuus | Tärkeä
  • Microsoft Office Visio | CVE-2025-54907 | Microsoft Office Visio Remote -koodin suorittamisen haavoittuvuus | Tärkeä
  • Microsoft Office Word | CVE-2025-54905 | Microsoft Word Information Disclosure -haavoittuvuus | Tärkeä
  • Microsoftin virtuaalinen kiintolevy | CVE-2025-54112 | Microsoftin virtuaalinen kiintolevyn korotus etuoikeuden haavoittuvuuden | Tärkeä
  • Rooli: Windows Hyper-V | CVE-2025-54092 | Windows Hyper-V: n etuoikeuden haavoittuvuuden korkeus | Tärkeä
  • Rooli: Windows Hyper-V | CVE-2025-54091 | Windows Hyper-V: n etuoikeuden haavoittuvuuden korkeus | Tärkeä
  • Rooli: Windows Hyper-V | CVE-2025-54115 | Windows Hyper-V: n etuoikeuden haavoittuvuuden korkeus | Tärkeä
  • Rooli: Windows Hyper-V | CVE-2025-54098 | Windows Hyper-V: n etuoikeuden haavoittuvuuden korkeus | Tärkeä
  • SQL Server | CVE-2025-47997 | Microsoft SQL Server -tietojen paljastaminen haavoittuvuus | Tärkeä
  • SQL Server | CVE-2025-55227 | Microsoft SQL Server -korotus etuoikeuden haavoittuvuudesta | Tärkeä
  • SQL Server | CVE-2024-21907 | VulnCheck: CVE-2010-21907 Poikkeuksellisten olosuhteiden virheellinen käsittely Newtonsoft.json | Tuntematon
  • Windows -liitännäisen toiminnon ohjain Winsockille | CVE-2025-54099 | Windows -liitännäisen toimintojen ohjain etuoikeuden haavoittuvuuden nousuun | Tärkeä
  • Windows bitlocker | CVE-2025-54911 | Windows BitLockerin etuoikeuden haavoittuvuuden korkeus | Tärkeä
  • Windows bitlocker | CVE-2025-54912 | Windows BitLockerin etuoikeuden haavoittuvuuden korkeus | Tärkeä
  • Windows Bluetooth -palvelu | CVE-2025-53802 | Windows Bluetooth -palvelun korkeus etuoikeuden haavoittuvuuden korkeus | Tärkeä
  • Windows Connected Devices Platform Service | CVE-2025-54102 | Windows Connected Devices Platform Service Kortaing of Privilege -haavoittuvuus | Tärkeä
  • Windows Connected Devices Platform Service | CVE-2025-54114 | Windows Connected Devices Platform Service (CDPSVC) Palvelun haavoittuvuuden kieltäminen | Tärkeä
  • Windows Defender -palomuuripalvelu | CVE-2025-53810 | Windows Defender Firewall Service Piile -Haavoittuvuuden korotus | Tärkeä
  • Windows Defender -palomuuripalvelu | CVE-2025-53808 | Windows Defender Firewall Service Piile -Haavoittuvuuden korotus | Tärkeä
  • Windows Defender -palomuuripalvelu | CVE-2025-54094 | Windows Defender Firewall Service Piile -Haavoittuvuuden korotus | Tärkeä
  • Windows Defender -palomuuripalvelu | CVE-2025-54915 | Windows Defender Firewall Service Piile -Haavoittuvuuden korotus | Tärkeä
  • Windows Defender -palomuuripalvelu | CVE-2025-54109 | Windows Defender Firewall Service Piile -Haavoittuvuuden korotus | Tärkeä
  • Windows Defender -palomuuripalvelu | CVE-2025-54104 | Windows Defender Firewall Service Piile -Haavoittuvuuden korotus | Tärkeä
  • Windows DWM | CVE-2025-53801 | Microsoft DWM Core -kirjaston etuoikeuden haavoittuvuuden korkeus | Tärkeä
  • Windows -kuvantamiskomponentti | CVE-2025-53799 | Windows Imaging -komponenttitietojen paljastaminen haavoittuvuus | Kriittinen
  • Windows Internet -tietopalvelut | CVE-2025-53805 | Http.sys Palvelun haavoittuvuuden kieltäminen | Tärkeä
  • Windows -ydin | CVE-2025-53803 | Windowsin ytimen muistitietojen paljastaminen haavoittuvuus | Tärkeä
  • Windows -ydin | CVE-2025-53804 | Windows-ytimen moodin ohjaimen tietojen paljastaminen haavoittuvuus | Tärkeä
  • Windows -ydin | CVE-2025-54110 | Windows -ytimen etuoikeuden haavoittuvuuden korkeus | Tärkeä
  • Windows Local Security Authority Alijärjestelmäpalvelu (LSASS) | CVE-2025-54894 | Paikallinen turvallisuusviranomainen alajärjestelmän palvelun korotus etuoikeuden haavoittuvuuden | Tärkeä
  • Windows Local Security Authority Alijärjestelmäpalvelu (LSASS) | CVE-2025-53809 | Paikallinen turvallisuusviranomaisen osajärjestelmäpalvelu (LSASS) Palvelun haavoittuvuuden kieltäminen | Tärkeä
  • Windows Management Services | CVE-2025-54103 | Windows Management -palvelun etuoikeuden haavoittuvuuden korkeus | Tärkeä
  • Windows Mapurltozone | CVE-2025-54107 | Mapurltozone -tietoturvaominaisuuden ohitus haavoittuvuus | Tärkeä
  • Windows Mapurltozone | CVE-2025-54917 | Mapurltozone -tietoturvaominaisuuden ohitus haavoittuvuus | Tärkeä
  • Windows Multipoint -palvelut | CVE-2025-54116 | Windowsin monipistepalvelut etuoikeuden haavoittuvuuden korkeus | Tärkeä
  • Windows NTFS | CVE-2025-54916 | Windows NTFS Etäkoodin suorituksen haavoittuvuus | Tärkeä
  • Windows NTLM | CVE-2025-54918 | Windows NTLM etuoikeuden haavoittuvuuden korkeus | Kriittinen
  • Windows PowerShell | CVE-2025-49734 | PowerShell suoraan etuoikeuden haavoittuvuuden korkeus | Tärkeä
  • Windowsin reititys ja etäkäyttöpalvelu (RRAS) | CVE-2025-54095 | Windowsin reititys- ja etäkäyttöpalvelun (RRAS) tietojen paljastaminen haavoittuvuus | Tärkeä
  • Windowsin reititys ja etäkäyttöpalvelu (RRAS) | CVE-2025-54096 | Windowsin reititys- ja etäkäyttöpalvelun (RRAS) tietojen paljastaminen haavoittuvuus | Tärkeä
  • Windowsin reititys ja etäkäyttöpalvelu (RRAS) | CVE-2025-53797 | Windowsin reititys- ja etäkäyttöpalvelun (RRAS) tietojen paljastaminen haavoittuvuus | Tärkeä
  • Windowsin reititys ja etäkäyttöpalvelu (RRAS) | CVE-2025-53796 | Windowsin reititys- ja etäkäyttöpalvelun (RRAS) tietojen paljastaminen haavoittuvuus | Tärkeä
  • Windowsin reititys ja etäkäyttöpalvelu (RRAS) | CVE-2025-54106 | Windowsin reititys- ja etäkäyttöpalvelu (RRAS) etäkoodin suorituksen haavoittuvuus | Tärkeä
  • Windowsin reititys ja etäkäyttöpalvelu (RRAS) | CVE-2025-54097 | Windowsin reititys- ja etäkäyttöpalvelun (RRAS) tietojen paljastaminen haavoittuvuus | Tärkeä
  • Windowsin reititys ja etäkäyttöpalvelu (RRAS) | CVE-2025-53798 | Windowsin reititys- ja etäkäyttöpalvelun (RRAS) tietojen paljastaminen haavoittuvuus | Tärkeä
  • Windowsin reititys ja etäkäyttöpalvelu (RRAS) | CVE-2025-54113 | Windowsin reititys- ja etäkäyttöpalvelu (RRAS) etäkoodin suorituksen haavoittuvuus | Tärkeä
  • Windowsin reititys ja etäkäyttöpalvelu (RRAS) | CVE-2025-55225 | Windowsin reititys- ja etäkäyttöpalvelun (RRAS) tietojen paljastaminen haavoittuvuus | Tärkeä
  • Windowsin reititys ja etäkäyttöpalvelu (RRAS) | CVE-2025-53806 | Windowsin reititys- ja etäkäyttöpalvelun (RRAS) tietojen paljastaminen haavoittuvuus | Tärkeä
  • Windows SMB | CVE-2025-55234 | Windows SMB: n etuoikeuden haavoittuvuuden korkeus | Tärkeä
  • Windows SMBV3 -asiakas | CVE-2025-54101 | Windows SMB Client Remote -koodin suorituksen haavoittuvuus | Tärkeä
  • Windows Spnego laajennetut neuvottelut | CVE-2025-54895 | SpNego Extended neuvottelut (NegoEx) turvallisuusmekanismi etuoikeuden haavoittuvuuden nousu | Tärkeä
  • Windows TCP/IP | CVE-2025-54093 | Windows TCP/IP -ohjaimen korotus etuoikeuden haavoittuvuuden | Tärkeä
  • Windows UI XAML Maps MapControlsettings | CVE-2025-54913 | Windows UI XAML MAPS MAPCONTROLSETTINGING PRIVILEGE -haavoittuvuuden nousu | Tärkeä
  • Windows UI XAML -puhelin DatePickerFlyout | CVE-2025-54111 | Windows UI XAML -puhelin DatePickerFlyout Oriverge -haavoittuvuuden nousu | Tärkeä
  • Windows Win32K – GRFX | CVE-2025-55224 | Windows Hyper-V Remote -koodin suorituksen haavoittuvuus | Kriittinen
  • Windows Win32K – GRFX | CVE-2025-55228 | Windows Graphics Component Etäkoodin suorituksen haavoittuvuus | Kriittinen
  • Windows Win32K – GRFX | CVE-2025-54919 | Windows Graphics Component Etäkoodin suorituksen haavoittuvuus | Tärkeä
  • Xbox | CVE-2025-55242 | Xbox -sertifiointivirhe Copilot Djando -tietojen paljastaminen haavoittuvuus | Kriittinen
  • Xbox -pelipalvelut | CVE-2025-55245 | Xbox Gaming Services Konseeraus etuoikeuden haavoittuvuus | Tärkeä

Source: Microsoft julkaisee syyskuun 2025 korjaustiedoston tiistaina päivitykset