微软今天发布了安全更新,修复了其Windows操作系统和软件中至少 67 个漏洞。雷德蒙德警告称,其中一个漏洞已受到主动攻击,并且本月已修复的普遍存在的 Windows 漏洞的利用方法软件蓝图现已公开。
本月唯一的零日漏洞是CVE-2025-33053 ,这是 Windows 实现的WebDAV (一种 HTTP 扩展,允许用户远程管理服务器上的文件和目录)中的一个远程代码执行漏洞。Automox 高级安全工程师Seth Hoyt表示,虽然 Windows 默认不启用 WebDAV,但它在旧版或专用系统中的存在仍然使其成为一个重要的攻击目标。
Rapid7首席软件工程师Adam Barnett表示,微软针对 CVE-2025-33053 的建议并未提及 Windows 的 WebDAV 实现自 2023 年 11 月起被列为弃用,这实际上意味着 WebClient 服务不再默认启动。
Barnett 表示:“该通报还指出攻击复杂度较低,这意味着利用该漏洞无需以任何超出攻击者控制范围的方式准备目标环境。利用该漏洞只需用户点击恶意链接即可。目前尚不清楚如果服务未运行,资产如何会立即受到攻击,但所有 Windows 版本都会收到补丁,包括自 WebClient 弃用以来发布的版本,例如 Server 2025 和 Windows 11 24H2。”
微软警告称,鉴于Windows 服务器消息块(SMB) 客户端中存在的“特权提升”漏洞 ( CVE-2025-33073 ) 的概念验证代码现已公开,该漏洞很可能被利用。CVE-2025-33073 的 CVSS 风险评分为 8.8(满分 10 分),利用该漏洞可导致攻击者获得对存在漏洞的 PC 的“系统”级控制权。
Action1联合创始人兼首席执行官Alex Vovk表示:“该漏洞尤其危险,因为初始连接后无需进一步的用户交互——攻击者通常可以在用户不知情的情况下触发该漏洞。鉴于该漏洞权限级别高且易于利用,对 Windows 环境构成重大风险。由于 SMB 是用于文件和打印机共享以及进程间通信的核心 Windows 协议,因此受影响系统的范围非常广泛。”
除了这些亮点之外,本月修复的 10 个漏洞被微软评定为“严重”,其中包括 8 个远程代码执行漏洞。
值得注意的是,本月的补丁批次中没有修复Windows Server 2025中新发现的一个漏洞,该漏洞允许攻击者以 Active Directory 中任何用户的权限进行操作。该漏洞名为“ BadSuccessor ”,由Akamai的研究人员于 5 月 21 日公开披露,目前已有多个公开的概念验证 (POC)。Tenable 的 Satnam Narang 表示,拥有至少一个 Windows Server 2025 域控制器的组织应审查主体的权限,并尽可能限制这些权限。
Adobe已针对Acrobat Reader和其他六款产品发布了更新,修复了至少 259 个漏洞,其中大部分漏洞来自Experience Manager的更新。Mozilla Firefox和Google Chrome最近都发布了安全更新,需要重启浏览器才能生效。最新的 Chrome 更新修复了浏览器中的两个零日漏洞 (CVE-2025-5419 和 CVE-2025-4664)。
要详细了解微软今天发布的各个安全更新,请查看SANS 互联网风暴中心的“补丁星期二”汇总。“行动 1”汇总了微软和其他众多软件供应商本月发布的补丁。与往常一样,请在安装补丁前备份您的系统和/或数据,如果您在应用这些更新时遇到任何问题,请随时在评论区留言。
原文: https://krebsonsecurity.com/2025/06/patch-tuesday-june-2025-edition/