微軟發布10月例行更新，修補6個零時差漏洞，半數已被用於實際攻擊

10月14日微軟發布本月份例行更新（Patch Tuesday），一共修補175個漏洞，較上個月81個多出超過一倍，也超過1月的159個，成為今年以來修補漏洞數量最多的一次。此外，該公司也公布另外21個影響旗下產品的第三方資安漏洞。

這次更新相當引起關注，其中一個原因是市占仍超過4成的Windows 10，即將進入生命週期結束（EOL）的階段，意味著用戶若是不升級至Windows 11，或無法取得延伸安全更新（ESU），他們的電腦有可能是最後一次接收相關修補程式。此外，Office 2016及2019版、Exchange Server 2016與2019版的用戶，也面臨微軟接下來不再提供更新的情況。

值得留意的是，這次微軟修補的漏洞裡，有6個是零時差漏洞，其中有3個CVE-2025-24990、CVE-2025-47827、CVE-2025-59230，已被用於實際攻擊行動。

其中，CVE-2025-24990與CVE-2025-59230被評為高風險層級，CVSS風險值剛好都是7.8分，類型同為權限提升漏洞，影響範圍皆為所有版本的Windows作業系統。CVE-2025-24990存在於Agere數據機的驅動程式，一旦攻擊者成功利用，就有機會取得管理員權限，而且，無論數據機是否運作，電腦都有可能曝險。對此，微軟移除系統內建的ltmdm64.sys來緩解弱點。附帶一提的是，這次微軟還有公布另一個Agere數據機的驅動程式零時差漏洞CVE-2025-24052，相關細節在該公司修補之前已被公開。

另一個同樣影響所有Windows作業系統，且被用於實際攻擊的高風險漏洞CVE-2025-59230，出現在遠端存取連線管理員（Remote Access Connection Manager），起因是存取控制不夠充分，通過身分驗證的攻擊者，有機會藉此將本機權限提升為SYSTEM。

第三個遭到利用的漏洞，為MITRE登記編號的CVE-2025-47827，存在於唯讀端點作業系統IGEL OS，為安全功能繞過漏洞，起因是igel-flash-driver模組驗證加密簽章出現不完整的情況，攻擊者可繞過安全開機，並在未經驗證的SquashFS映像檔當中，掛載特製的根檔案系統，風險值為4.6。

從公告內容來看，很難理解微軟為何需要與IGEL合作來緩解這項漏洞，長期觀察微軟每月例行更新態勢的Rapid7與Zero Day Initiative（ZDI），對此提出看法。Rapid7根據研究人員揭露的細節，他們推測微軟在修補程式當中，增列了UEFI註銷名單來防範相關威脅；ZDI推測該漏洞被用於極具針對性的攻擊。

其餘兩個在微軟公告前已遭公開的零時差漏洞，分別是：存在於AMD EPYC處理器的遠端程式碼執行（RCE）漏洞CVE-2025-0033，以及TPM 2.0參考實作的越界讀取弱點CVE-2025-2884，CVSS風險值為8.2、5.3，為重大及高風險層級的弱點。