吳明宜微軟周二釋出 12 月份安全更新,修補 57 項漏洞,包含 3 個零時差漏洞,其中正被積極濫用中。
正發生攻擊的漏洞是 CVE-2025-62221 (CVSS 7.8),是 Windows Cloud Files Mini Filter 驅動程式的一項使用已釋放記憶體 (use-after-free) 漏洞。
微軟說,濫用這項漏洞可讓攻擊者提升到 Windows 裝置的 System 權限。
第二項漏洞也是位於 Cloud Files Mini Filter 驅動程式,編號 CVE-2025-62454,CVSS score: 7.8,也可能導致提權攻擊。
本月 Patch Tuesday 還修補了 2 項可導致遠端程式碼執行的指令注入漏洞,分別位於 Copilot for Jetbrains (CVE-2025-64671) 及 PowerShell (CVE-2025-54100) 。
二項漏洞都已被公開,不過微軟認為攻擊可能性較低。但 CVE-2025-64671 已出現概念驗證攻擊程式。
本月更新還修補了 Office 套件的 13 項漏洞,包含二個 CVSS 風險值 8.4 的重大漏洞。這二個漏洞分別是 CVE-2025-62554 及 CVE-2025-62557,分別為型態混淆及使用已釋放記憶體漏洞,可允許遠端攻擊者執行任意程式碼。微軟表示攻擊者可能利用社交工程誘使用戶點選惡意連結,即使透過 Office 的預覽窗格預覽也會觸發。微軟警告,最嚴重電子郵件攻擊情況下,攻擊者可以傳送改造的郵件給受害者,完全不需他們開啟、讀取郵件或點擊連結,而能在受害者機器上執行遠端程式碼。
其他漏洞影響 Visual Studio 、 Azure Monitor Agent 、 Hyper-V 、 Edge for iOS 及 Application Information Service 等。
2025 一整年微軟已修補了近 1200 項漏洞,微軟漏洞已經連續兩年超越 1000 個。
來源: SecurityWeek