微软披露了两个影响 Windows BitLocker 加密功能的严重提权漏洞，编号分别为 CVE-2025-54911 和 CVE-2025-54912，严重程度被评定为“重要”。这两个漏洞均属于“释放后重用（Use-After-Free）”类型的内存损坏漏洞，攻击者可利用此漏洞执行任意代码，完全掌控系统。微软已在“补丁星期二”更新中修复了这些漏洞，并敦促用户尽快安装最新更新。

🔍 这两个漏洞 (CVE-2025-54911 和 CVE-2025-54912) 影响了 Windows BitLocker 加密功能，被微软评为 '重要' 严重程度。

📉 这类漏洞属于 '释放后重用（Use-After-Free）'，是内存损坏漏洞的一种，攻击者可利用此漏洞执行任意代码，完全掌控系统。

⚠️ 攻击者需已在目标系统上拥有低级别权限，并且需要某种形式的用户交互才能成功实施攻击，但风险依然不容小觑。

🛡️ 微软已在 2025 年 9 月的 '补丁星期二' 更新中修复了这些漏洞，并敦促用户尽快安装最新更新以保护系统。

🤝 漏洞 CVE-2025-54912 由与微软合作的外部安全研究员 Hussein Alrubaye 发现，体现了微软与外部安全社区的合作。

看雪学苑 2025-09-10 18:03 上海

微软修复 Windows BitLocker 两项提权漏洞

2025 年 9 月 9 日，微软披露了两个影响 Windows BitLocker 加密功能的严重提权漏洞，编号分别为 CVE-2025-54911 和 CVE-2025-54912，严重程度被评定为“重要”。

这两个漏洞均属于“释放后重用（Use-After-Free）”类型的内存损坏漏洞，在通用缺陷枚举（CWE）中被归类为 CWE-416。这类漏洞通常出现在程序在内存被释放或重新分配后，仍继续使用指向该内存位置的指针。当攻击者能够控制写入到这片已释放内存的数据时，就可能操纵程序的执行流程。在本次事件中，恶意攻击者可以利用这一控制权执行任意代码，最终完全掌控系统。

BitLocker 作为 Windows 系统的关键安全组件，此次同时出现两个“释放后重用”漏洞，凸显了复杂软件在维护内存安全方面面临的持续挑战。成功利用这两个漏洞中的任何一个，攻击者都能实现完整的权限提升，获得 Windows 系统最高级别的 SYSTEM 权限。一旦获得此权限，攻击者将能够安装程序、查看、修改或删除数据，甚至创建具有完整用户权限的新账户。

根据微软提供的通用漏洞评分系统（CVSS）指标，攻击者需已在目标系统上拥有低级别权限，并且需要某种形式的用户交互才能成功实施攻击。这意味着攻击者需诱骗授权用户执行特定操作，这增加了远程自动化攻击的难度，但在攻击者已初步渗透系统的情况下，风险依然不容小觑。

为应对这一威胁，微软已在 2025 年 9 月的“补丁星期二”更新中修复了这些漏洞，并敦促用户和管理员尽快安装最新更新，以保护系统免受潜在攻击。尽管目前这些漏洞被评估为“不太可能被利用”，但鉴于其可能造成的严重影响，及时采取行动至关重要。

值得一提的是，漏洞 CVE-2025-54912 是由与微软合作的外部安全研究员 Hussein Alrubaye 发现的，这体现了微软与外部安全社区在识别和解决关键安全问题方面的紧密合作。

用户可通过标准的 Windows Update 服务检查并安装更新，确保系统不再受这些提权漏洞的影响。

资讯来源：cybersecuritynews

转载请注明出处和本文链接

﹀

﹀

﹀