吳明宜本周二微軟釋出九月 Patch Tuesday 安全更新,修補 81 項漏洞,包括 2 個已公開的零時差漏洞。
本月修補的漏洞中,包括 9 個重大漏洞,其中 5 個為遠端程式碼執行 (Remote Code Execution, RCE) 、一個資訊洩露,以及 2 個權限升級漏洞。
而在本月修補的漏洞中,有 2 個已公開的零時差漏洞。所謂零時差漏洞是指已公開或是已遭濫用,然而卻尚未有官方修補程式。這 2 個零時差漏洞分別位於 Windows SMB Server 和 SQL Server 。
CVE-2025-55234 為 Windows SMB 權限升級漏洞。該漏洞存在 SMB Server,視配置而定,成功濫用本漏洞的駭客可能對 SMB Server 發動中繼攻擊(relay attack),令使用者遭受權限升級攻擊。
微軟說,Windows 已包含能防範 SMB Server 中繼攻擊的設定,像是開啟 SMB Server 簽章和 SMB Server Extended Protection for Authentication (EPA) 。但是啟動這些功能可能在舊式裝置和實作上引發不相容。安裝九月更新後,微軟建議管理員開啟 SMB Server 的稽核以判斷是否啟動上述設定時會出現問題。
微軟未公佈本漏洞的發現者,也不知是在哪公開的。
CVE-2024-21907 出於 Newtonsoft.JSON 的處理例外狀況不當,影響 13.0.1 版本以前。當惡意資料傳送到 JsonConvert.DeserializeObject 方法時,可能觸發 StackOverflow 例外,導致阻斷服務 (DoS) 。視本函式庫使用行為而定,未經驗證的遠端攻擊者可能造成阻斷服務條件。本項漏洞是在 2024 年公開,本月 Windows 更新才解決此一漏洞。
微軟本月另外還修補了 3 項 Azure 漏洞、 1 項 Dynamics 365 FastTrack Implementation Assets 、 2 項 Mariner 漏洞、 5 項 Edge 漏洞、 1 個 Xbox 漏洞。