学校主页
学校主页

公告及预警

公告及预警

当前位置: 首页  -  公告及预警  -  正文

关于警惕多项主流软件安全漏洞的预警通知

发布时间:2025-11-07 点击数量:

近日,网络空间中出现多个影响范围广、危害等级高的安全漏洞,涉及操作系统、办公软件、浏览器、压缩工具等师生日常广泛使用的应用程序。攻击者可能利用这些漏洞,通过诱骗打开恶意文件、访问恶意网页等方式,在用户设备上执行任意代码、窃取敏感信息甚至完全控制设备。

为确保我校网络与信息安全,保护全体师生的个人隐私、科研数据及教学资料不受侵害,信息中心特发布此预警通知。请各单位及师生个人高度重视,立即对照以下漏洞列表排查所使用的软件版本,并及时采取安全加固措施。

主要漏洞详情及处置建议如下:

1. Apple 多款产品越界写入漏洞 (CNVD-2025-19354)

描述:Apple iPadOS、iPhone OS 和 macOS 的 Image I/O 框架在处理恶意图像文件时存在越界写入漏洞,可能导致内存损坏,攻击者可利用此漏洞进一步发起其他攻击。
影响版本:

Apple iPadOS < 17.7.10

Apple iPadOS ≥ 18.0, < 18.6.2

Apple iPhone OS < 18.6.2

Apple macOS ≥ 14.0, < 14.7.8

Apple macOS ≥ 15.0, < 15.6.1

Apple macOS ≥ 13.0.0, < 13.7.8
处置建议:下载官方升级程序修复该安全问题,升级到最新版本。

2. Google Android 信息泄露漏洞 (CNVD-2025-18828)

描述:Google Android 的 MediaProvider.java 组件在 ensureFileColumns 函数中存在输入验证不正确漏洞,攻击者可利用此漏洞获取敏感信息。
影响版本:

Google Android 12.1

Google Android 13.0
处置建议:下载官方升级程序修复该安全问题,安装官方安全更新。

3. Google Chrome 类型混淆漏洞 (CVE-2025-6554)

描述:谷歌 Chrome 浏览器的 V8 引擎在执行 JavaScript 代码时,对某些数据类型的边界检查和类型转换处理不当,导致类型混淆,攻击者可构造恶意网站诱骗用户访问,从而执行任意读写操作。
影响版本:

Google Chrome(Windows)< 138.0.7204.96/97

Google Chrome(Mac)< 138.0.7204.92/93

Google Chrome(Linux)< 138.0.7204.92
处置建议:升级 Chrome 到最新版本,并避免访问来源不明的网站。

4. Microsoft Excel 代码执行漏洞 (CNVD-2025-18819)

描述:Microsoft Excel 在打开特制文件时存在错误,导致代码执行漏洞,攻击者可利用此漏洞在系统上执行任意代码。
影响版本:

Microsoft Office Online Server

Microsoft 365 Apps for Enterprise

Microsoft Office LTSC 2021

Microsoft Office LTSC for Mac 2021

Microsoft Office 2019

Microsoft Office LTSC 2024

Microsoft Office LTSC for Mac 2024
处置建议:下载官方升级程序修复该安全问题,安装官方更新。

5. Microsoft SharePoint Server 远程代码执行漏洞 (CVE-2025-53770)

描述:Microsoft SharePoint Server 存在远程代码执行漏洞,攻击者可通过上传恶意 aspx 文件提取 ValidationKey 和 DecryptionKey 等加密密钥,然后利用这些密钥制作有效签名到 __VIEWSTATE 载荷,通过 ASP.NET 的 ViewState 反序列化机制实现未经身份验证的远程代码执行。
影响版本:

Microsoft SharePoint Server 2016

Microsoft SharePoint Server 2019 < KB5002754 补丁

Microsoft SharePoint Server Subscription Edition < KB5002768 补丁
处置建议:下载官方升级程序修复该安全问题,安装补丁 KB5002754 或 KB5002768。

6. WinRAR 目录遍历漏洞 (CVE-2025-8088)

描述:WinRAR 在处理压缩文件时对路径校验不严格,存在目录遍历缺陷,攻击者可构造特制压缩文件(如 RAR 或 ZIP 格式),当用户解压时,恶意文件可能绕过预期目录,写入系统敏感路径(如系统目录或用户配置目录),从而覆盖或替换关键文件。
影响版本:官方尚未明确披露受影响的具体版本范围。
处置建议:密切关注 WinRAR 官方发布的安全更新,一旦推出修复版本,立即升级到最新版本。

7. Anysphere Cursor 远程代码执行漏洞 (CVE-2025-54135)

描述:Anysphere Cursor 代码编辑器在新建 MCP 配置文件时无需用户确认,攻击者可通过间接提示词注入方式将恶意指令写入配置文件,导致远程代码执行。
影响版本:Cursor < 1.3.9
处置建议:升级至 Cursor 1.3.9 或更高版本。

请各用户及时检查相关产品版本,并按照处置建议进行安全加固,以防范潜在风险。


下一篇:关于防范“银狐”变种木马病毒的风险提示与应对通知

返回列表