Microsoft 三月更新修復67個漏洞,其中六個已遭受主動攻擊

BigGo Editorial Team
Microsoft 三月更新修復67個漏洞,其中六個已遭受主動攻擊

Microsoft 最新的補丁星期二釋出解決了令人擔憂的大量安全漏洞,網路安全專家將這種情況描述為非同尋常。2025年3月的更新共解決了67個漏洞,其中包括六個已被攻擊者積極利用的零日漏洞,這促使安全機構發出緊急警告。

嚴峻的安全形勢

2025年3月的補丁星期二被 Trend Micro 的 Zero Day Initiative 描述為包含了異常數量的被積極利用的漏洞。此次更新共解決了67個CVE(通用漏洞和暴露),其中56個影響 Microsoft 自身產品,包括 Windows、Office、Azure、.NET、Visual Studio、Remote Desktop Services、DNS Server 和 Hyper-V Server。其餘漏洞涉及第三方元件。美國網路防禦機構發出了嚴厲警告,建議使用者在4月1日前更新電腦,或者完全關閉它們以避免潛在攻擊。

2025年3月補丁星期二漏洞情況

  • 總CVE數量:67個
  • Microsoft產品CVE數量:56個
  • 零日漏洞:7個
  • 被積極利用的零日漏洞:6個
  • 嚴重漏洞:6個

已修復的漏洞型別

  • 許可權提升漏洞:23個
  • 遠端程式碼執行漏洞:23個
  • 安全功能繞過漏洞:3個
  • 資訊洩露漏洞:4個
  • 拒絕服務漏洞:1個
  • 欺騙漏洞:3個

Windows 10 支援終止時間表

  • 支援終止日期:2025年10月14日
  • 當前 Windows 10 市場份額:低於60%
  • 當前 Windows 11 市場份額:接近40%
  • 月遷移率:安裝基數的約2%

遭受攻擊的零日漏洞

特別令人擔憂的是,此次更新中包含的七個零日漏洞中有六個已被攻擊者積極利用。這些包括兩個遠端程式碼執行漏洞(CVE-2025-24985和CVE-2025-24993),允許攻擊者誘騙使用者掛載惡意VHD檔案;兩個Windows NTFS中的資訊洩露漏洞,可能導致資料被盜;Windows Win32核心子系統中的許可權提升漏洞;以及Microsoft管理控制檯中的安全功能繞過漏洞。第七個零日漏洞雖然尚未被利用,但允許在使用者開啟惡意檔案時在Microsoft Office Access中遠端執行程式碼。

Windows 10支援終止的擔憂

隨著 Windows 10 將於2025年10月14日終止支援,此次更新顯得尤為重要。目前仍有約8億使用者在使用 Windows 10,其中估計有2.4億使用者使用的裝置無法升級到 Windows 11。這些使用者在未來幾個月面臨關鍵決策:購買與 Windows 11 相容的新硬體、支付延長安全更新費用,或冒險執行不受支援且容易遭受未來攻擊的作業系統。

向 Windows 11 遷移的進展

最新資料顯示,Windows 10 的市場份額首次降至60%以下,而 Windows 11 接近40%。遷移速度似乎正在加快,每月約有2%的安裝基礎轉移。Microsoft 一直強調,Windows 11 升級僅適用於滿足技術要求的完全授權的 Windows 10 機器,並且已開始在更新期間顯示關於即將終止支援的明顯警告。

如何保護您的系統

Microsoft 會自動向大多數使用者推送安全更新,但驗證您的系統是否已更新至關重要。使用者可以透過轉到開始>設定>Windows 更新並選擇檢查 Windows 更新來進行檢查。鑑於正在修補的漏洞的嚴重性,網路安全專家強烈建議立即安裝這些更新,以防止潛在攻擊。對於面臨10月支援截止日期的 Windows 10 使用者,為升級或系統更換做計劃應該是優先事項,以避免安全風險。