微軟10月補丁:Windows 10的最後更新
2025年10月14日,微軟公佈了針對其Windows作業系統的更新,修補了多達172個安全漏洞,其中至少有兩個漏洞已被積極利用。這個月的補丁星期二標誌著微軟對Windows 10系統提供安全更新的最後一個月。如果您仍然使用Windows 10電腦並且無法或不願遷移至Windows 11,請繼續閱讀以了解其他選擇。
零日漏洞詳情
本月修補的第一個零日漏洞(CVE-2025-24990)涉及一個第三方的Agere Modem驅動程式,該驅動程式已隨Windows附帶了近二十年。微軟對此漏洞的攻擊作出了回應,徹底從Windows中移除了這個易受攻擊的驅動程式。
另一個零日漏洞是CVE-2025-59230,這是一個提升權限的漏洞,存在於Windows的遠端連線管理服務(RasMan)中,該服務用於管理透過虛擬私人網路(VPN)和撥號網路的遠端網路連線。
Tenable的資深研究工程師Satnam Narang指出,雖然RasMan自2022年1月以來已在補丁星期二中出現超過20次,但這是首次看到它作為零日漏洞被利用。
Microsoft Office的漏洞
Narang還提到,Microsoft Office用戶應注意CVE-2025-59227和CVE-2025-59234,這是一對利用"預覽窗格"的遠端代碼執行漏洞,這意味著目標甚至不需要打開文件即可被攻擊。攻擊者會通過社交工程誘騙目標預覽包含惡意Office文檔的電子郵件。
Windows Server Update Service 的關鍵漏洞
Immersive的威脅研究高級總監Kev Breen指出了CVE-2025-59287,這是一個Windows Server Update Service(WSUS)中的關鍵遠端代碼執行漏洞。該服務負責為Windows Server版本下載安全補丁。微軟表示目前尚無此漏洞被利用的跡象,但其威脅評分高達9.8分(滿分10分),並被標記為"更可能被利用"。這意味著CVE-2025-59287可以在無需認證的情況下被利用,是一個急需修補的漏洞。
其他即將終止支援的產品
今天結束生命週期的不僅是Windows 10,還包括Exchange Server 2016、Exchange Server 2019、Skype for Business 2016、Windows 11 IoT Enterprise Version 22H2和Outlook 2016。
升級和其他選擇
如果你正在使用Windows 10系統,你可能已經確定你的PC是否符合Windows 11操作系統的技術硬體規格。如果不願或無法將Windows 10系統遷移到Windows 11,除了繼續使用無法獲得持續安全更新的Windows 10之外,還有其他選擇。可以選擇通過微軟的延伸安全更新(ESU)計畫購買額外一年的安全更新。費用為30美元,如果將電腦註冊到微軟帳戶,則可能免費。