微软在其最新的“更新星期二”安全发布中修复了124个安全漏洞，其中包括11个被评为“关键”的漏洞，以及一个已被积极利用的漏洞。

　　被利用的漏洞被标识为CVE-2025-29824，涉及Windows通用日志文件系统中的特权提升漏洞。该漏洞的CVSS评分为7.8，属于“重要”级别，但并非关键安全风险。然而，较低级别的漏洞有时可能被组合利用，形成完整的攻击链。趋势科技零日计划高级研究员Dustin Childs表示，CVE-2025-29824可能就是这种情况。

　　截至目前，该漏洞的利用似乎有限。然而，随着补丁的发布，可能会出现更多的攻击。安全界有句谚语：“更新星期二”之后是“利用星期三”。Childs解释道，这类漏洞常常与代码执行漏洞一起被用来攻陷系统。

　　微软在4月8日的博文中表示，该漏洞已被用于攻击少数目标，包括美国的信息技术和房地产行业、委内瑞拉的金融行业、西班牙的一家软件公司，以及沙特阿拉伯的零售业。微软发现，攻击者利用PipeMagic恶意软件，通过Storm-2460威胁组织部署勒索软件。

　　美国网络安全和基础设施安全局（CISA）于4月8日将CVE-2025-29824列为已知利用漏洞（KEV）。

　　除了被利用的漏洞外，微软还修复了11个漏洞，包括Office和Excel中的CVE-2025-29791、CVE-2025-27749、CVE-2025-27748和CVE-2025-27745等。

　　安全供应商Action1的首席执行官兼联合创始人Alex Vovk表示，这些Office漏洞如果被组合利用，可能带来严重风险。攻击者可能通过社会工程手段，将恶意文件伪装成普通附件，诱使用户打开，从而利用这些漏洞。这些漏洞也可能与其他漏洞链式利用，以提升权限或在网络中横向移动。

　　总的来说，这124个漏洞的修复工作量巨大，即使对于微软而言也是如此。Childs解释道，四月的更新通常较多，管理员需要加紧测试和部署补丁。他说：“四月发布的补丁通常较多，这次也不例外。”“值得安慰的是，这些漏洞中只有一个在发布时被列为公开已知或正在积极攻击。”