一、
　　微软2025年3月的例行安全更新共包含微软产品的安全漏洞57个，按等级分为6个高危、51个重要和1个低危。按照漏洞类型分为权限提升漏洞23个、远程代码执行漏洞23个、身份假冒漏洞3个、信息泄露漏洞4个、拒绝服务漏洞1个、安全功能绕过3个。这些漏洞中需要特别关注的是：

　　Windows文件系统系列漏洞（CVE-2025-24984、CVE-2025-24985、CVE-2025-24991、CVE-2025-24993）。Windows系统的NTFS和FASTFAT格式文件系统中存在多个信息泄露及远程代码执行漏洞。截止目前，上述漏洞均已监测到在野被利用的情况。
　　Windows管理控制台安全功能绕过漏洞（CVE-2025-26633）。Microsoft Management Console（MMC）是Windows系统用来管理网络、计算机、服务及其他系统组件的管理工具。MMC中存在一个安全功能绕过漏洞。该漏洞目前已经监测到在野的利用攻击。
　　Windows远程桌面服务系列代码执行漏洞（CVE-2025-24045、CVE-2025-26645）。Windows远程桌面服务中存在两个远程代码执行漏洞。其中一个可通过连接目标系统的远程桌面服务并发送特制的网络请求来利用，成功利用该漏洞可在无用户交互的前提下实现远程代码执行。另一个漏洞则是远程桌面客户端的目录遍历漏洞，因客户端未正确验证HTTP请求中的路径序列而产生。
　　Microsoft Access远程代码执行漏洞（CVE-2025-26630）。攻击者可通过诱导受害者从网站下载并打开特制文件来触发漏洞，成功利用该漏洞可在目标系统上执行任意代码。目前该漏洞已监测到在野的利用。
　　二、
　　本月VMware发布了一项关键的安全公告（VMSA-2025-0004），用于修补其产品中存在的多个安全漏洞。本次公告中特别提到了3个0day漏洞（CVE-2025-22224、CVE-2025-22225和CVE-2025-22226）。建议使用VMware的管理员尽快更新自己的VMware版本。
　　三、
　　开源渲染字库FreeType高危漏洞（CVE-2025-27363）。FreeType 2.13.0以下版本（更高版本不受影响）在解析与TrueType GX和可变字体文件相关的字体子字形结构时存在越界写入漏洞。建议用户检查自己所使用的应用中是否内嵌了FreeType库，对于存在漏洞影响的字库，应及时进行升级。
　　四、
　　Tomcat远程代码执行漏洞（CVE-2025-24813）。ApacheTomcat是应用广泛的Java Servlet容器WEB服务程序。Tomcat 11.0.3、10.1.35、9.0.99之前的版本中存在一个反序列化漏洞。建议相关的Tomcat系统管理员尽快确认所使用的版本并进行更新。
　　五、
　　Adobe Acrobat/Reader远程代码执行漏洞（CVE-2025-27158）。Acrobat/Reader的字体功能中使用了未初始化的指针，可能导致内存破坏。目前厂商已在最新的版本中修补了该漏洞，建议用户尽快进行升级。
　　六、
　　Next.js中间件授权绕过漏洞（CVE-2025-29927）。Next.js是一个基于React的开源框架，用于构建现代web应用程序。Next.js 14.2.25及15.2.3之前的版本中存在一个严重的中间件授权绕过漏洞，建议相关开发人员及时关注并升级。

　　目前AI本地化部署已经在各大高校陆续落地，在发展AI应用的同时也要做好安全防范，建议做到以下几点。
　　一、访问限制。使用防火墙严格限制大模型核心节点的访问，仅运行前端应用代理访问，禁止用户直接访问，避免　　计算资源被滥用。

　　二、权限隔离。AI应用实施最小权限原则，分离开发、运维与用户访问，建立用户认证体系。
　　三、供应链审计。严格审查第三方依赖库及预训练模型来源，实时关注各组件的漏洞风险。
　　四、数据加密。对训练数据、模型权重进行端到端加密存储，并对原始训练数据进行脱敏处理。

来源：《中国教育网络》2025年2-3合刊