CCERT月报：网络安全工作要求从形式合规转向过程合规-中国教育和科研计算机网CERNET

资讯

校园信息化

技术

资源与应用

产品与装备

信息服务

首页 > 教育信息化 > CERNET之窗 > CCERT

CCERT月报：网络安全工作要求从形式合规转向过程合规

2025-12-15 中国教育网络

　　近期，公安部网安局公众号再次发布“银狐”木马的紧急预警，网警提醒以“银狐”木马为代表的恶意程序变种频发，单日新增变种超10个。该木马会盗取银行账号、支付密码、身份证号、通讯录等敏感信息，木马的传播途径包括：伪装成内部文件在即时通讯软件内传播、仿冒官网或二维码引诱下载安装程序，通过钓鱼邮件传播、通过移动存储介质传播等。该木马一旦感染就会在内网进行横向扩展，危害极大。建议用户安装有效的防病毒软件进行防范。

2025年10月-2025年11月 CCERT 安全投诉事件统计

　　近期新增严重漏洞评述

　　微软2025年11月的例行安全更新共包含微软产品的安全漏洞63个。按等级分类包含5个高危、58个重要等级。鉴于上述漏洞带来的风险，建议用户尽快使用系统自带的更新功能进行安全更新。这些漏洞中需要特别关注的是：

　　图形组件(GDI+)中的堆缓冲区溢出漏洞（CVE-2025-60724）。Windows的图形组件在处理元文件（meatfile）格式时存在内存管理权限，导致在解析恶意的图形文件时会发生堆栈溢出。攻击者通过构建包含恶意代码的特制图像（如WMF、EMF等矢量格式）文件引诱用户点击，成功利用漏洞可以获取系统管理员权限。目前该漏洞的CVSS评分为9.8分，建议用户尽快进行补丁升级。

　　客户体验改善计划(CEIP)特权提升漏洞(CVE-2025-59512)。客户体验改进计划（CEIP）组件因不当访问控制导致存在权限提升漏洞。已经经过身份认证的普通用户可以利用该漏洞获得系统管理员的权限。

　　Windows内核权限提升漏洞（CVE-2025-62215）。Windows内核在多线程并发访问共享资源时同步控制不足，存在竞争条件漏洞。已获授权的本地低权限用户通过抢占时间窗口，可绕过安全边界在内核态执行任意代码，进而获得权限提升。目前该漏洞已经发现了在野的攻击，建议用户尽快进行补丁更新。

　　Windows客户端缓存服务权限提升漏洞（CVE-2025-60705）。Windows客户端缓存服务(CSC)通过本地存储临时数据减少重复请求，提升系统响应速度。该服务存在一个权限提升漏洞，已经过身份认证的普通用户可以利用该漏洞获取系统管理权限。

　　Fortiweb是Fortinet公司旗下的Web防火墙，近日Fortinet公司发布了紧急安全公告用于修补Fortiweb中存在的一个远程代码执行漏洞（CVE-2025-58034）。目前该漏洞已经存在0day攻击，建议使用了相关产品的用户尽快联系厂商进行升级。

　　Grafana是目前网络上使用较为广泛的开源数据可视化及监控软件，Grafana Enterprise版本被披露存在一个权限提升漏洞（CVE-2025-41115）。该漏洞允许攻击者在特定条件下通过配置数字格式的externalId（SCIM记账属性），将新用户关联到包括管理员在内的内部账号。由于Grafana会将此属性值直接映射到内部用户的user.uid字段，数字如“1”可能被系统识别为已存在的内部账号，进而将普通用户提升成管理员。该漏洞仅影响Enterprise版本，不影响OSS版本。目前Grafana labs已经在最新版本中修补了该漏洞，建议相关用户尽快升级。

　　Firefox浏览器中存在一个任意代码执行漏洞（CVE-2025-13016），漏洞源于Firefox处理WebAssembly（Wasm）时的一个细微编码错误，攻击者可通过精心构造的恶意网页在浏览器内存压力较大时触发该漏洞实现远程代码执行。目前官方已在最新版Firefox 145及Thunderbird 145中修补了该漏洞，建议使用该产品的用户尽快升级。

　　安全提示

　　公安部于近期发布了《公安机关网络空间安全监督检查办法（征求意见稿）》，向社会公开征求意见，此次意见稿是对2018年制定的《公安机关互联网安全监督检查规定》（公安部令第151号）的修订。征求意见稿共二十三条，对公安机关开展网络空间安全监督检查进行了程序性规定，共涉及六个方面，包括：明确监督检查对象、明确监督检查方式、明确监督检查内容、明确监督检查频次、明确检查结果运用及相关法律责任。结合明年1月开始生效的新网络安全法可以看出，网络安全工作的要求正在从之前的形式合规向过程合规转变，这也对后续网络安全工作提出了更高的要求。

　　来源：《中国教育网络》2025年11月刊

　　作者：郑先伟（中国教育和科研计算机网应急响应组）

　　责编：陈茜

　　特别声明：本站注明稿件来源为其他媒体的文/图等稿件均为转载稿，本站转载出于非商业性的教育和科研之目的，并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题，请作者在两周内速来电或来函联系。