Microsoft выпустила свои обновления безопасности в сентябре 2025 года, обратившись к 81 уязвимости, в том числе два публично раскрытых недостатка в нулевом дне. Обновления также включают исправления для девяти критических уязвимостей, охватывающие удаленное выполнение кода, раскрытие информации и повышение проблем привилегий. Уязвимости, установленные в этом патче во вторник, классифицируются следующим образом:

  • 41 возвышение уязвимостей привилегий
  • 2 Уязвимости функции безопасности обход
  • 22 Уязвимости от удаленного кода
  • 16 Уязвимости раскрытия информации
  • 3 Отказ от уязвимостей обслуживания
  • 1 Сделать уязвимость

Важно отметить, что количество 81 уязвимостей включает только те, которые выпущены во вторник. Он не охватывает три Azure, одну динамику 365 активов реализации FastTrack, два моряка, пять Microsoft Edge и одну уязвимости Xbox, которые были рассмотрены ранее в сентябре. Патч во вторник в этом месяце обращается к двум публично раскрытой уязвимости нулевого дня:

  • CVE-2025-55234-Высота SMB уязвимости SMB Windows: Этот недостаток в SMB -сервере может быть использован с помощью ретрансляционных атак, что позволяет злоумышленникам выполнять повышение привилегических атак. Microsoft объясняет, что «SMB -сервер может быть восприимчив к ретрансляционным атакам в зависимости от конфигурации. Злоумышленник, который успешно использовал эти уязвимости, может выполнять ретрансляционные атаки и заставить пользователей подвергаться повышению привилегий». Windows включает настройки для смягчения этого, такие как включение подписи SMB -сервера и расширенная защита SMB Server для аутентификации (EPA). Тем не менее, Microsoft признает, что включение этих функций может вызвать проблемы совместимости со старыми устройствами. Администраторам рекомендуется позволять аудиту на SMB -серверах для оценки потенциальных проблем, прежде чем полностью обеспечить соблюдение этих функций упрочнения. «В рамках обновлений Windows, выпущенных в и после 9 сентября 2025 года (CVE-2025-55234), поддержка включена для проверки совместимости с клиентом SMB для подписи SMB-сервера, а также SMB Server EPA»,-заявила Microsoft. Источник и исследователи этой уязвимости остаются неподтвержденными.
  • CVE-2024-21907-Vulncheck: CVE-2024-21907 Неправильная обработка исключительных условий в Newtonsoft.json: Эта уязвимость, присутствующая в Newtonsoft.json в Microsoft SQL Server, включает в себя неправильное обращение с исключительными условиями. Microsoft заявляет, «CVE-2024-21907 рассматривает ошибку уязвимости исключительных условий в newtonsoft.json до версии 13.0.1. Созданные данные, которые передаются в JSONCONVERT.DeserializeObj состояние.” Обновления SQL Server включают обновления в Newtonsoft.json для решения этой проблемы, которая была публично раскрыта в 2024 году.

Несколько других поставщиков также выпустили обновления и консультации по безопасности в сентябре 2025 года:

You Might Also Like
Microsoft представляет центр обработки данных Fairwater AI в Висконсине
Microsoft представляет центр обработки данных Fairwater AI в Висконсине
Google Ads Advisor добавляет проактивные агентские функции безопасности
Google Ads Advisor добавляет проактивные агентские функции безопасности
Сербская танцовщица в TikTok: кто она?
Сербская танцовщица в TikTok: кто она?
  • Adobe: Выпущенные обновления безопасности для недостатков «SessionReaper», влияющих на магазины электронной коммерции Magento.
  • Арго: Исправлена ​​уязвимость ARGO CD, позволяющая низкопривилентным токенам API для доступа к конечным точкам API и получению всех учетных данных репозитория, связанных с проектом.
  • Cisco: Выпустили патчи для Webex, Cisco ASA и других продуктов.
  • Google: Выпустили сентябрьские обновления Android Security, посвященные 84 уязвимостям, в том числе два активно эксплуатируемых недостатка.
  • SAP: Выпущенные сентябрьские обновления безопасности для нескольких продуктов, в том числе исправление для максимальной ошибки выполнения команды максимальной степени в NetWeaver.
  • Sitecore: Выпущенные обновления безопасности для уязвимости нулевого дня, отслеживаемого CVE-2015-53690, которая активно эксплуатировалась в атаках.
  • TP-Link: Подтверждено, что в некоторых из его маршрутизаторов существует новый нулевой день, причем компания изучает ее эксплуатацию и создает патчи для клиентов.
  NVIDIA представляет Jetson Agx Thor Developer Kit для Edge AI

Ниже приведен полный список разрешенных уязвимостей в патче Microsoft сентябрь 2025 г. Обновления во вторник:

  • Azure – Сеть | CVE-2025-54914 | Azure Networking Повышение уязвимости привилегий | Критический
  • Azure Arc | CVE-2025-55316 | Уязвимость привилегий Azure Arc Важный
  • Azure Bot Service | CVE-2025-55244 | Azure Bot Service Высота уязвимости привилегий | Критический
  • Azure entra | CVE-2025-55241 | Azure Entra повышение уязвимости привилегий | Критический
  • Azure Windows Virtual Machine Agent | CVE-2025-49692 | Azure Connected Machine Agent Agent of Privilege Уязвимость | Важный
  • Служба управления доступом к возможностям (CAMSVC) | CVE-2025-54108 | Служба управления возможностями доступа (CAMSVC) Повышение уязвимости привилегий | Важный
  • Dynamics 365 FastTrack реализации активов | CVE-2025-55238 | Dynamics 365 FastTrack реализация активов Информация об раскрытии информации о раскрытии информации | Критический
  • Графическое ядро ​​| CVE-2025-55236 | Графический ядро ​​уязвимость Критический
  • Графическое ядро ​​| CVE-2025-55223 | DirectX Graphics Ahiptation of Privilege Уязвимость | Важный
  • Графическое ядро ​​| CVE-2025-55226 | Графический ядро ​​уязвимость Критический
  • Microsoft Autoupdate (Mau) | CVE-2025-55317 | Microsoft Autoupdate (MAU) повышение уязвимости привилегий | Важный
  • Microsoft Brokering File System | CVE-2025-54105 | Microsoft Brokering File System повышение уязвимости привилегий | Важный
  • Microsoft Edge (на основе хрома) | CVE-2025-9866 | Хром: CVE-2025-9866 Неправильная реализация в расширениях | Неизвестный
  • Microsoft Edge (на основе хрома) | CVE-2025-9867 | Хром: CVE-2025-9867 Неправильная реализация в загрузках | Неизвестный
  • Microsoft Edge (на основе хрома) | CVE-2025-53791 | Microsoft Edge (на основе хрома) функции безопасности обходной уязвимости | Умеренный
  • Microsoft Edge (на основе хрома) | CVE-2025-9864 | Хром: CVE-2025-9864 Использование после бесплатного в V8 | Неизвестный
  • Microsoft Edge (на основе хрома) | CVE-2025-9865 | Хром: CVE-2025-9865 Неправильная реализация на панели инструментов | Неизвестный
  • Microsoft Graphics Component | CVE-2025-53807 | Графический компонент Windows Повышение уязвимости привилегий | Важный
  • Microsoft Graphics Component | CVE-2025-53800 | Графический компонент Windows Повышение уязвимости привилегий | Критический
  • Microsoft High Performance Compute Pack (HPC) | CVE-2025-55232 | Microsoft High Performance Compute (HPC) Уязвимость удаленного кода пакета Важный
  • Microsoft Office | CVE-2025-54910 | Microsoft Office Уязвимость удаленного кода | Критический
  • Microsoft Office | CVE-2025-55243 | Microsoft OfficePlus Spoofing Уязвимость | Важный
  • Microsoft Office | CVE-2025-54906 | Microsoft Office Уязвимость удаленного кода | Важный
  • Microsoft Office Excel | CVE-2025-54902 | Microsoft Excel удаленное выполнение кода уязвимость | Важный
  • Microsoft Office Excel | CVE-2025-54899 | Microsoft Excel удаленное выполнение кода уязвимость | Важный
  • Microsoft Office Excel | CVE-2025-54904 | Microsoft Excel удаленное выполнение кода уязвимость | Важный
  • Microsoft Office Excel | CVE-2025-54903 | Microsoft Excel удаленное выполнение кода уязвимость | Важный
  • Microsoft Office Excel | CVE-2025-54898 | Microsoft Excel удаленное выполнение кода уязвимость | Важный
  • Microsoft Office Excel | CVE-2025-54896 | Microsoft Excel удаленное выполнение кода уязвимость | Важный
  • Microsoft Office Excel | CVE-2025-54900 | Microsoft Excel удаленное выполнение кода уязвимость | Важный
  • Microsoft Office Excel | CVE-2025-54901 | Microsoft Excel Information Раскрытие информации о уязвимости | Важный
  • Microsoft Office PowerPoint | CVE-2025-54908 | Microsoft PowerPoint Уязвимость удаленного кода | Важный
  • Microsoft Office SharePoint | CVE-2025-54897 | Microsoft SharePoint Уязвимость удаленного кода | Важный
  • Microsoft Office Visio | CVE-2025-54907 | Microsoft Office Visio Уязвимость удаленного кода | Важный
  • Microsoft Office Word | CVE-2025-54905 | Microsoft Word Information Раскрытие информации о уязвимости | Важный
  • Microsoft Виртуальный жесткий диск | CVE-2025-54112 | Microsoft Virtual Hard Disk Повышение уязвимости привилегий | Важный
  • Роль: Windows Hyper-V | CVE-2025-54092 | Hyper-V Hyper-V повышение уязвимости привилегий | Важный
  • Роль: Windows Hyper-V | CVE-2025-54091 | Hyper-V Hyper-V повышение уязвимости привилегий | Важный
  • Роль: Windows Hyper-V | CVE-2025-54115 | Hyper-V Hyper-V повышение уязвимости привилегий | Важный
  • Роль: Windows Hyper-V | CVE-2025-54098 | Hyper-V Hyper-V повышение уязвимости привилегий | Важный
  • SQL Server | CVE-2025-47997 | Microsoft SQL Server Информация о раскрытии информации о раскрытии информации | Важный
  • SQL Server | CVE-2025-55227 | Microsoft SQL Server повышение уязвимости привилегий | Важный
  • SQL Server | CVE-2024-21907 | Vulncheck: CVE-2024-21907 Неправильная обработка исключительных условий в Newtonsoft.json | Неизвестный
  • Windows вспомогательная функция драйвер для Winsock | CVE-2025-54099 | Вспомогательный драйвер функции для Windsock Высота уязвимости привилегий | Важный
  • Windows Bitlocker | CVE-2025-54911 | Уязвимость привилегий Windows Bitlocker | Важный
  • Windows Bitlocker | CVE-2025-54912 | Уязвимость привилегий Windows Bitlocker | Важный
  • Windows Bluetooth Service | CVE-2025-53802 | Windows Bluetooth Service Elevation of Privilege Уязвимость | Важный
  • Служба платформы подключенных устройств Windows | CVE-2025-54102 | Windows Connected Devices Platform Service Elevation уязвимости привилегий | Важный
  • Служба платформы подключенных устройств Windows | CVE-2025-54114 | Windows Connected Devices Platform Service (CDPSVC) Отказ от уязвимости обслуживания | Важный
  • Служба брандмауэра Windows Defender | CVE-2025-53810 | Защитник Windows Firewall Extamation уязвимости привилегий | Важный
  • Служба брандмауэра Windows Defender | CVE-2025-53808 | Защитник Windows Firewall Extamation уязвимости привилегий | Важный
  • Служба брандмауэра Windows Defender | CVE-2025-54094 | Защитник Windows Firewall Extamation уязвимости привилегий | Важный
  • Служба брандмауэра Windows Defender | CVE-2025-54915 | Защитник Windows Firewall Extamation уязвимости привилегий | Важный
  • Служба брандмауэра Windows Defender | CVE-2025-54109 | Защитник Windows Firewall Extamation уязвимости привилегий | Важный
  • Служба брандмауэра Windows Defender | CVE-2025-54104 | Защитник Windows Firewall Extamation уязвимости привилегий | Важный
  • Windows dwm | CVE-2025-53801 | Microsoft DWM Core Library Повышение уязвимости привилегий | Важный
  • Компонент визуализации Windows | CVE-2025-53799 | Уязвимость информации о компонентах с визуализацией Windows Критический
  • Информационные услуги Windows Internet | CVE-2025-53805 | Http.sys Отрицание уязвимости обслуживания | Важный
  • Windows ядро ​​| CVE-2025-53803 | Уязвимость информации о памяти Windows ядра уязвимость | Важный
  • Windows ядро ​​| CVE-2025-53804 | Уязвимость информации о водителе Windows ядра уязвимость Важный
  • Windows ядро ​​| CVE-2025-54110 | Уязвимость привилегий уязвимости привилегии Важный
  • Windows Local Security Authority Subsystem Service (LSASS) | CVE-2025-54894 | Локальный орган безопасности подсистемной службы Уязвимости привилегий | Важный
  • Windows Local Security Authority Subsystem Service (LSASS) | CVE-2025-53809 | Служба подсистемы местного органа безопасности (LSASS) Отказ от уязвимости обслуживания | Важный
  • Управление Windows | CVE-2025-54103 | Управление Windows Управление Повышение уязвимости привилегий | Важный
  • Windows mapurltozone | CVE-2025-54107 | Функция безопасности Mapurltozone Обход уязвимости | Важный
  • Windows mapurltozone | CVE-2025-54917 | Функция безопасности Mapurltozone Обход уязвимости | Важный
  • Услуги Multiopt Windows | CVE-2025-54116 | Многоточные службы Windows повышение уязвимости привилегий | Важный
  • Windows ntfs | CVE-2025-54916 | Windows NTFS Уязвимость удаленного кода | Важный
  • Windows ntlm | CVE-2025-54918 | Windows NTLM Повышение уязвимости привилегий | Критический
  • Windows PowerShell | CVE-2025-49734 | PowerShell Прямая высота уязвимости привилегий | Важный
  • Служба маршрутизации и удаленного доступа Windows (RRAS) | CVE-2025-54095 | Уязвимость информации о маршрутизации и удаленном доступе (RRAS) Уязвимость информации о раскрытии информации | Важный
  • Служба маршрутизации и удаленного доступа Windows (RRAS) | CVE-2025-54096 | Уязвимость информации о маршрутизации и удаленном доступе (RRAS) Уязвимость информации о раскрытии информации | Важный
  • Служба маршрутизации и удаленного доступа Windows (RRAS) | CVE-2025-53797 | Уязвимость информации о маршрутизации и удаленном доступе (RRAS) Уязвимость информации о раскрытии информации | Важный
  • Служба маршрутизации и удаленного доступа Windows (RRAS) | CVE-2025-53796 | Уязвимость информации о маршрутизации и удаленном доступе (RRAS) Уязвимость информации о раскрытии информации | Важный
  • Служба маршрутизации и удаленного доступа Windows (RRAS) | CVE-2025-54106 | Уязвимость удаленного кода маршрутизации и удаленного доступа (RRAS) Уязвимость удаленного кода | Важный
  • Служба маршрутизации и удаленного доступа Windows (RRAS) | CVE-2025-54097 | Уязвимость информации о маршрутизации и удаленном доступе (RRAS) Уязвимость информации о раскрытии информации | Важный
  • Служба маршрутизации и удаленного доступа Windows (RRAS) | CVE-2025-53798 | Уязвимость информации о маршрутизации и удаленном доступе (RRAS) Уязвимость информации о раскрытии информации | Важный
  • Служба маршрутизации и удаленного доступа Windows (RRAS) | CVE-2025-54113 | Уязвимость удаленного кода маршрутизации и удаленного доступа (RRAS) Уязвимость удаленного кода | Важный
  • Служба маршрутизации и удаленного доступа Windows (RRAS) | CVE-2025-55225 | Уязвимость информации о маршрутизации и удаленном доступе (RRAS) Уязвимость информации о раскрытии информации | Важный
  • Служба маршрутизации и удаленного доступа Windows (RRAS) | CVE-2025-53806 | Уязвимость информации о маршрутизации и удаленном доступе (RRAS) Уязвимость информации о раскрытии информации | Важный
  • Windows SMB | CVE-2025-55234 | Windows SMB повышение уязвимости привилегий | Важный
  • Windows SMBV3 Клиент | CVE-2025-54101 | Windows SMB Client удаленного кода Уязвимость | Важный
  • Windows spnego расширенные переговоры | CVE-2025-54895 | SPNEGO расширенное переговоры (UGOEX) Механизм безопасности Повышение уязвимости привилегий | Важный
  • Windows TCP/IP | CVE-2025-54093 | Windows TCP/IP Driver Повышение уязвимости привилегий | Важный
  • Windows UI XAML MAPS MAPCONTROLSETTINGS | CVE-2025-54913 | Windows UI XAML MAPS MAPCONTROLSETTYTINGS Уязвимость привилегий | Важный
  • Windows UI XAML DATEPICKERFLYOUT | CVE-2025-54111 | Windows UI XAML DATE DATEPICERFLYOUT Повышение уязвимости привилегий | Важный
  • Windows Win32K – GRFX | CVE-2025-55224 | Windows Hyper-V Уязвимость удаленного кода | Критический
  • Windows Win32K – GRFX | CVE-2025-55228 | Графический компонент Windows Уязвимость удаленного кода Критический
  • Windows Win32K – GRFX | CVE-2025-54919 | Графический компонент Windows Уязвимость удаленного кода Важный
  • Xbox | CVE-2025-55242 | Сертификация Xbox Copilot Djando раскрытие информации Уязвимость | Критический
  • Xbox Gaming Services | CVE-2025-55245 | Xbox Gaming Services Повышение уязвимости привилегий | Важный
  Как сделать стикеры Instagram из своих селфи и использовать их в качестве реакции?

Source: Microsoft выпускает обновления в сентябре 2025 года.