微軟發布5月例行更新，修補5項已被用於攻擊的零時差漏洞

5月13日微軟發布本月例行更新（Patch Tuesday），總共修補78個漏洞，數量較上個月126個減少許多。從漏洞的類型來看，遠端程式碼執行（RCE）漏洞29個最多，占總數的三分之一；其次是權限提升漏洞、資訊洩露漏洞，分別有20個、16個；其餘有7個是阻斷服務（DoS）漏洞、4個能被用於欺騙的漏洞，以及2個安全功能繞過漏洞。而從漏洞的危險程度來看，這次有12個微軟將其評為重大層級，有5個為RCE漏洞、3個權限提升漏洞、2個資訊洩露漏洞，以及1個可被用於欺騙的漏洞。

雖然整體修補的漏洞數量較上個月大幅下降，但值得留意的是，這次有5個已被用於實際攻擊的零時差漏洞，美國網路安全暨基礎設施安全局（CISA）同日列入已遭利用的漏洞列表（KEV），並要求聯邦機構必須在6月3日前完成修補。

這些漏洞分別是：Windows指令碼引擎記憶體中斷漏洞CVE-2025-30397、微軟Windows桌面視窗管理（DWM）核心程式庫權限提升漏洞CVE-2025-30400、Windows通用事件記錄檔案系統（CLFS）驅動程式權限提升漏洞CVE-2025-32701及CVE-2025-32706，以及供WinSock使用的Windows附屬功能驅動程式（Ancillary Function Driver，AFD）權限提升漏洞CVE-2025-32709。

其中，最受到研究人員關注的漏洞是CVE-2025-30397，原因是攻擊者一旦成功利用，就能讓Edge以Internet Explorer（IE）模式執行。微軟進一步指出，這項漏洞利用存在必要的條件，那就是使用者必須點選特製的URL，攻擊者就能在未經授權的情況下，遠端執行任意程式碼。

究竟攻擊者如何利用這項弱點，微軟並未說明，不過，資安專家對於公布的資訊，紛紛提出看法。

資安業者Rapid7指出，雖然微軟強調利用這項漏洞相當複雜，但並未提及使用者是否需要手動在IE模式重新載入網頁，因此他們推測，漏洞能被利用的另一個前提，就是電腦設置為允許網站自動重新在IE模式載入。研究人員提及，假若利用漏洞不存在上述條件，那麼漏洞的危險程度將大幅提升，從7.5分增加至8.8分。

漏洞懸賞專案Zero Day Initiative（ZDI）則認為，這項弱點能強制Edge使用IE模式運作，將使得IE存在的隱患再度浮上檯面。

除了CVE-2025-30397，涉及CLFS的漏洞CVE-2025-32701、CVE-2025-32706也相當值得留意。原因是這兩個漏洞能讓攻擊者升級到SYSTEM權限，而且，上個月微軟修補的零時差漏洞CVE-2025-29824，就與CLFS有關。值得留意的是，後續有勒索軟體駭客加入利用CVE-2025-29824的行列，再加上CVE-2025-32701、CVE-2025-32706也被用於攻擊行動，因此駭客可能試圖鎖定CLFS而來，挖掘相關弱點，存在於CLFS的漏洞都必須特別關注。

附帶一提的是，駭客濫用AFD、DWM相關漏洞的情況已有先例，因此CVE-2025-32709、CVE-2025-30400也不能掉以輕心。其中，微軟曾在今年2月修補AFD漏洞CVE-2025-21418；而在一年前，他們修補DWM零時差漏洞CVE-2024-30051。

除了上述已有實際攻擊行動的零時差漏洞，另有兩個漏洞在微軟修補前就被公開揭露，這些漏洞是：Visual Studio遠端程式碼執行漏洞CVE-2025-32702，以及身分識別監控方案Microsoft Defender for Identity的欺騙漏洞CVE-2025-26685。