微軟緊急修補至少 120 個 Windows 漏洞,警示零日漏洞遭利用
微軟於週二發布了一系列緊急安全更新,修補了至少 120 個 Windows 漏洞,其中包括一個已被「積極利用」的零日漏洞。此舉旨在保護全球 Windows 用戶免受潛在的網路攻擊,並凸顯了網路安全威脅的持續上升。
外媒SecurityWeek報導,此次更新的核心問題是Windows通用日誌檔案系統(CLFS) 中的一個零日漏洞(CVE-2025-29824)。微軟安全回應團隊警告稱,該漏洞允許本地攻擊者利用使用後釋放漏洞,進而提升系統權限。該漏洞的CVSS嚴重性評分為7.8/10,且只需低階權限即可觸發,無需使用者互動。
微軟將此漏洞歸功於其內部威脅情報團隊,並暗示該漏洞正被專業駭客團隊所利用。據悉,針對Windows 10的修補程式尚未推出,將在稍後發布。
微軟在另一份文件中指出一個勒索軟體組織發動了此次攻擊,受害者包括美國IT和房地產行業的組織、委內瑞拉的金融業、西班牙的一家軟體公司以及沙烏地阿拉伯的零售業。微軟指出,除了發現漏洞之外,還發現PipeMagic惡意軟體已經部署了該漏洞,並將漏洞利用活動歸咎於Storm-2460。
Adobe 發布了大量安全性更新
除了CLFS漏洞,此次大規模修補程式還修復了Windows Hyper-V中的釋放後使用記憶體損壞漏洞,該漏洞允許授權攻擊者透過網路執行程式碼,並存在遠端程式碼執行風險。此外,微軟還修復了Windows遠端桌面服務中存在的兩個嚴重遠端程式碼執行漏洞,並警告未經授權的攻擊者可以透過網路執行程式碼。
與此同時,Adobe也發布了大量安全性更新,並警告嚴重漏洞可被利用來遠端控制電腦系統。Adobe修補程式涵蓋了54個已記錄的錯誤,並解決了Adobe ColdFusion、Adobe FrameMaker、Adobe Photoshop和Adobe Commerce等企業產品中主要程式碼執行缺陷。
Microsoft Patches 125 Windows Vulns, Including Exploited CLFS Zero-Day
Microsoft fixes actively exploited Windows CLFS zero-day (CVE-2025-29824)
(首圖來源:微軟)