微軟Outlook驚現「目錄遍歷」漏洞 CVSS 7.8高風險待修復

記者孫敬／編譯

微軟（Microsoft）旗下的電子郵件服務Outlook出現新資安漏洞！據外媒報導，這項被標註的漏洞CVE-2025-47176，恐允許攻擊者遠端執行任意惡意程式碼，儘管觸發此漏洞需本地存取權限，但只要極低的權限即可發動，且一旦觸發後不需要跟使用者互動便可自動運行。

這項漏洞在2025年6月10日被公開，並被評定為「重要」（Important）等級，CVSS（通用漏洞評分系統）分數高達7.8，顯示其潛在危害不容小覷。對於全球廣泛使用的Outlook應用程式而言，這無疑是一項重大的資安挑戰。

延伸閱讀：Google瘦身再出招！推「自願離職計畫」精簡人力

漏洞細節揭露：低權限高威脅，微軟承諾盡速發布更新

CVE-2025-47176漏洞的核心，源於Microsoft Office Outlook中涉及「…/…//」序列的「目錄遍歷」（Path traversal）問題。此漏洞允許有權限的攻擊者，在受影響的本地系統執行程式碼。微軟的技術分析指出，其攻擊媒介（attack vector）為CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H，這表示攻擊需從本地進行且複雜度低。

微軟表示，此漏洞被歸類為本地攻擊媒介，但它仍被視為「遠端程式碼執行」（RCE）漏洞，原因在於「遠端」指的是攻擊者的位置，而非執行程式碼的方式。一旦成功利用，駭客可能全面掌控受影響系統，竊取敏感資料、修改系統設定，甚至導致系統癱瘓。由於該漏洞只需低權限即可觸發，無需管理員或更高權限，這將大幅擴大潛在的攻擊面。

目前，微軟已確認Outlook的「預覽窗格」（Preview Pane）並非此漏洞的攻擊媒介，這可能限制了部分依賴被動內容渲染的攻擊情境。從威脅情報顯示，此漏洞在微軟發布公告前並未被公開披露，且尚未觀察到有活躍的野外攻擊，其被利用性評估被評定為「不太可能」。

面對這樣的挑戰，微軟已承認CVE-2025-47176的嚴重性，也坦承Microsoft 365的安全更新尚未發布，不過承諾將盡快發布補丁，之後會再透過常見漏洞與暴露（CVE）來通知使用者。由於補丁將延遲釋出，這使得各組織迫切需要安全備案，並密切監控其Outlook的使用情境。

資料來源：Cyber Security News

瀏覽 851 次