微软补丁：2025年4月修复了121个漏洞

微软在这个春天迎来了异常繁忙的安全更新周期。在最新发布的"补丁星期二"安全更新中，这家科技巨头一次性修复了124个安全漏洞，其中包括11个被标记为"关键"级别的漏洞，更值得注意的是，其中1个漏洞（CVE-2025-29824）已被确认正在被黑客组织积极利用。

这个被利用的漏洞存在于Windows通用日志文件系统（CLFS）中，属于特权提升类型。虽然其CVSS评分为7.8，仅被列为"重要"级别而非"严重"，但安全专家警告这种评级可能具有误导性。趋势科技零日倡议高级研究员Dustin Childs指出："这类漏洞往往会被与其他漏洞串联使用，形成完整的系统接管攻击链。"

微软在4月8日的安全公告中披露，该漏洞已被Storm-2460黑客组织用于部署PipeMagic恶意软件，主要针对美国IT和房地产行业、委内瑞拉金融部门、西班牙软件公司以及沙特阿拉伯零售业。美国网络安全和基础设施安全局（CISA）已将该漏洞列入其"已知被利用漏洞"目录。

除零日漏洞外，本次更新还修复了Office和Excel中的多个漏洞（CVE-2025-29791等）。Action1公司CEO Alex Vovk警告："虽然单个Office漏洞看似危害不大，但黑客可能通过钓鱼邮件诱骗用户打开恶意文档，结合多个漏洞实现远程代码执行。"

值得注意的是，124个漏洞的修复规模即使对微软来说也相当庞大。Childs解释："四月通常都是补丁发布的高峰期，虽然数量惊人，但值得庆幸的是其中只有一个是被公开利用的零日漏洞。"