吳明宜微軟本周釋出 2025 年 1 月 Patch Tuesday 的更新,修補 159 項漏洞,包含 8 個零時差漏洞,其中有 3 個已遭到攻擊。而這次的規模,也是自 2017 年以來最大的一次。
這次的安全更新修補了 12 項重大漏洞,涵括資訊洩露、權限升級 (EoP) 和遠端程式碼執行 (RCE) 等類型漏洞。 159 項漏洞中,包含 40 個 EoP 漏洞、 14 個安全功能繞過、 58 個 RCE 漏洞、 24 項資訊洩洞漏洞、 20 項 Do 以及五個身份冒用漏洞。
3 個已遭攻擊的零時差漏洞
本月 8 個零時差漏洞中,5 個是已公開的漏洞,3 個已遭受攻擊,包括 CVE-2025-21333 、 CVE-2025-21334 、 CVE-2025-21335,皆為 Windows Hyper-V NT 核心整合 EoP 漏洞 (Kernel Integration VSP Elevation of Privilege Vulnerability),成功濫用可讓攻擊者取得 Windows 裝置的 System 權限。
微軟並未說明攻擊如何發生,也顯示是匿名研究人員通報。不過由於是影響同一功能,且序號相連,顯示可能是在同一攻擊事件中發現。
五個已公開零時差漏洞是:
CVE-2025-21275 ,Windows App Package Installer EoP,成功濫用的攻擊者可因此取得 System 權限。
CVE-2025-21308 – Windows 佈景主題冒充漏洞。只要在檔案總管中顯示假冒的佈景主題檔,攻擊者可誘騙使用者以郵件或 IM 載入惡意檔案到受害系統上,但不一定需要點擊開啟才會受害。
剩下三個是 CVE-2025-21186 、 CVE-2025-21366 和 CVE-2025-21395,皆是 Microsoft Access RCE 漏洞。攻擊者以郵件寄發並誘使用戶開啟惡意 Access 文件,引發遠端程式碼執行。為此,微軟更新後,已封鎖 Outlook 寄送以下副檔名的檔案:accdb 、 accde 、 accdw 、 accdt 、 accda 、 accdr 、 accdu 。