10月8日微软发布本月例行更新（Patch Tuesday），总共修补117个漏洞，较上个月79个多出不少，也是今年第3次公告超过100个漏洞的情况，其中包含7个权限提升漏洞、7个安全功能绕过漏洞、43个远程代码运行（RCE）漏洞、6个信息泄漏洞、26个阻断服务（DoS）漏洞，以及7个能用于欺骗的漏洞。纵观上述资安弱点，有5个是已被公开的零时差漏洞，而有2个出现实际攻击行动。

这些零时差漏洞分别是：Winlogon权限提升漏洞CVE-2024-43583、MSHTML平台欺骗漏洞CVE-2024-43573、微软管理主控台（MMC）远程代码运行漏洞CVE-2024-43572、Hyper-V安全功能绕过功能绕过漏洞CVE-2024-20659，以及Curl远程代码运行漏洞CVE-2024-6197，CVSS风险评分介于8.8至6.5。

至于已出现攻击行动的零时差漏洞，是指CVE-2024-43573、CVE-2024-43572。而CVE-2024-43573最令人担心，因为这项漏洞涉及弃用的IE 11排版引擎MSHTML，影响Windows众多操作系统版本（不含Windows Server 2008、Windows Server 2008 R2、Windows Server 2012），微软指出除Edge的IE模式会存取MSHTML平台，也有其他应用程序可能会借由特定控制项存取而曝险，但该公司并未透露更多细节，后续有待研究人员进一步调查。

另一个也被用于攻击的漏洞是CVE-2024-43572，微软同样未透露细节，以及黑客如何利用漏洞？他们只提到，本次更新可防堵用户不慎打开恶意Microsoft Saved Console（MSC）文件的情况。

究竟黑客如何利用这些漏洞？微软并未说明。