微軟修補Windows核心已遭利用的權限提升漏洞

條件競爭（Race Condition）引發的資安事件近期多次出現在新聞版面，例如，Docker修補的通用容器執行環境runC容器逃逸漏洞CVE-2025-31133，起因就與容器掛載出現條件競爭有關；之前AWS出現服務大規模中斷的情況，Amazon指出原因也涉及條件競爭，如今，與這類問題有關的弱點，有人拿來用在實際攻擊行動。

微軟於11月11日發布本月例行更新（Patch Tuesday），其中最受到關注的部分是高風險漏洞CVE-2025-62215，原因是該漏洞在他們修補之前已被用於攻擊。此漏洞存在於Windows核心，為權限提升弱點，CVSS評分為7.0。公告內容比較特別的地方是，該公司提到CVE-2025-62215涉及兩種型態的弱點，其中一種是條件競爭（CWE-362），另一種是重複釋放記憶體（Double Free，CWE-415）。

而對於該漏洞帶來的影響，微軟表示一旦攻擊者成功利用，就有機會得到SYSTEM權限，不過，成功利用該漏洞存在必要條件，就是在競爭條件中勝出。究竟攻擊者如何運用，有待後續進一步的揭露。

本次微軟例行更新總共修補63個漏洞，與上個月175個相比，數量僅約為三分之一。從漏洞的類型來看，近半數（29個）為權限提升漏洞（EoP），遠端程式碼執行（RCE）與資訊洩露（ID）漏洞居次，分別有16個及11個，另有3個阻斷服務（DoS）漏洞、2個安全功能繞過漏洞，以及2個能被用於欺騙的漏洞。