高風險漏洞警報：音訊處理環節與 Windows 系統的緊急安全威脅

資安界近期發布的高嚴重性漏洞警報，集中於廣泛使用的 Dolby 音訊解碼器與 Windows 作業系統的網路協議，這些缺陷的共通點是允許攻擊者在受害者未察覺或未互動的情況下，對系統進行遠端程式碼執行或取得高階權限。

杜比統一解碼器中存在一個高嚴重性漏洞，在某些情況下無需用戶互動即可被利用來遠端執行程式碼。此安全漏洞編號為 CVE-2025-54957（CVSS 評分為 7.0），可透過使用惡意音訊訊息觸發，導致遠端執行程式碼。 Google Project Zero 的 Ivan Fratric 和 Natalie Silvanovich發現，解碼器受到越界寫入問題的影響，該問題可能在處理進化數據期間觸發。Silvanovich 表示，在 Android 上，該漏洞可以在無需用戶互動的情況下遠端利用，因為所有音訊訊息和附件都是使用杜比的統一解碼器在本地解碼的。 Google Project Zero 於 6 月向杜比實驗室報告了該安全缺陷，並在 90 天的披露期限過後發布了相關資訊並推出了修復程序。

此漏洞的機制源於音訊處理過程中，當解碼器寫入演進數據時，長度計算可能因整數溢出而導致錯誤。這使得分配給數據寫入的緩衝區過小，進而導致隨後的越界檢查失效。最終，攻擊者可以利用精心構造的惡意音訊訊息覆蓋結構體中後續的關鍵數據，包括在處理下一個同步幀時用到的指標，從而實現遠端程式碼執行（RCE）。

該漏洞對不同平台的影響程度有差異：

• Android 設備： 由於音訊訊息會在本地被自動解碼，攻擊者可以發動零點擊攻擊，對 Android 設備構成極高風險。研究人員已在 Pixel 9 和 Samsung S24 等設備上成功執行了概念驗證（PoC）程式碼。

• Windows 系統： Microsoft 已將此缺陷納入其十月 Patch Tuesday 更新中並進行修復，但指出在 Windows 平臺上，成功利用此漏洞需要用戶互動。Google 也已將相關補丁部署到最新的 ChromeOS 更新中。

除了上述 Dolby 解碼器漏洞外，Windows 用戶還面臨另一項已確認被積極利用的高嚴重性威脅：Windows SMB 權限提升漏洞。

CISA 表示，威脅行為者目前正在積極利用高嚴重性的 Windows SMB 權限提升漏洞，該漏洞可讓他們在未修補的系統上獲得 SYSTEM 權限。此安全漏洞編號為 CVE-2025-33073，影響所有 Windows Server 和 Windows 10 版本，以及最高至 Windows 11 24H2 的 Windows 11 系統。 為了利用此漏洞，攻擊者可以執行特製的惡意腳本，強制受害者電腦使用 SMB 重新連接到攻擊系統並進行身份驗證，這可能會導致權限提升。 CISA 尚未分享有關正在進行的 CVE-2025-33073 攻擊的更多信息，但它已將該漏洞添加到其已知被利用的漏洞目錄中，並給予聯邦民事行政部門 (FCEB) 機構三週時間在 11 月 10 日之前保護其係統，這是具有約束力的運營指令 (BOD) 22-01 所規定的。

行動建議

鑑於這兩個漏洞的嚴重性，特別是 Dolby 漏洞對 Android 系統的零點擊威脅，以及 Windows SMB 漏洞已證實被積極利用，所有組織和個人用戶必須立即採取行動：

1. 優先修補 Windows 系統： 立即安裝 Microsoft 的十月 Patch Tuesday 更新，全面修復 Windows SMB 權限提升漏洞（CVE-2025-33073）和 Dolby 解碼器漏洞（CVE-2025-54957）。

2. 更新 Android 和 ChromeOS： 確保所有 Android 設備和 ChromeOS 系統均更新至最新版本，以消除零點擊 RCE 威脅。 所有 IT 和資安團隊應將這些修補工作視為最高優先級，以防止系統遭受嚴重入侵。