Microsoft 於 2025 年 8 月發布了例行的 Patch Tuesday 資安更新，此次更新內容規模龐大，共修復了 107 個安全漏洞。其中，一個已遭駭客主動利用的零日漏洞獲得修補，成為本次更新中最受關注的焦點。此次修補涵蓋了從遠端程式碼執行（Remote Code Execution, RCE）、權限提升（Elevation of Privilege, EoP）到資訊洩露（Information Disclosure）等多種嚴重弱點，廣泛影響 Microsoft 的多項核心產品。

本次更新的總體規模達到了近年來 Patch Tuesday 的高峰，再次突顯了軟體供應鏈中持續存在的資安挑戰。這 107 個漏洞中，有數個被標記為「嚴重（Critical）」，它們若被成功利用，可能導致攻擊者在無需使用者互動的情況下，遠端執行任意程式碼。這些嚴重漏洞尤其值得企業和IT管理員高度警惕，因為它們通常是駭客發動大規模攻擊的首要目標。

最引人注目的，莫過於那個被證實已在真實世界中遭到利用的零日漏洞。零日漏洞的危險性在於，它的存在在修補程式發布前就已被攻擊者所知曉和利用，這意味著任何未即時更新的系統都可能已經暴露在風險之下。Microsoft 在本次更新中針對此漏洞發布了緊急修補，強調了其高度的危險性與修補的迫切性。雖然具體的零日漏洞技術細節與攻擊手法通常會在修補後一段時間才會被公開，但可以確定的是，它已對部分使用者或組織造成了實際威脅。

除了零日漏洞之外，本次更新還修復了多個影響 Windows 作業系統核心元件的漏洞，這些漏洞可能被用於提升攻擊者的權限，進而完全控制受害系統。對於伺服器產品，如 Exchange Server，本次也進行了關鍵修補，以防範潛在的遠端攻擊。此外，Microsoft Edge 瀏覽器、Office 應用程式套件、.NET Framework 等也都在本次更新範圍內，確保了整個 Microsoft 生態系統的安全性。

對於個人使用者與企業而言，本次 Patch Tuesday 的資訊傳達了一個清晰的訊息：務必立即進行更新。特別是對於那些處理敏感資料的系統或面向公網的伺服器，應將更新作業視為最高優先事項。企業 IT 部門應啟動緊急應變計畫，迅速測試並部署相關修補程式，確保所有端點、伺服器和應用程式都處於最新且安全的狀態。延遲更新不僅會增加被零日漏洞攻擊的風險，也可能讓其他已知的 106 個漏洞成為攻擊者的可乘之機。

綜上所述，Microsoft 2025 年 8 月的 Patch Tuesday 是一次至關重要的安全更新。它不僅修復了數量龐大的弱點，更針對已在野外被利用的零日漏洞提供了關鍵防禦。面對日益複雜和頻繁的網路攻擊，只有透過持續、及時的更新，才能在不斷演變的資安戰場上，有效保護數位資產與資訊安全。

資料來源：https://www.bleepingcomputer.com/news/microsoft/microsoft-august-2025-patch-tuesday-fixes-one-zero-day-107-flaws/