2025年6月安全更新回顾

2025年6月10日 | Dustin Childs

本月第二个星期二，微软和Adobe发布了最新的安全更新，旨在修复多个关键漏洞。本次更新共涉及数百个CVE，其中包含多个已被积极利用的零日漏洞。以下是详细分析。

Adobe 2025年6月补丁

Adobe本月发布了七份公告，修复了Adobe Acrobat Reader、InCopy、Experience Manager、Commerce、InDesign、Substance 3D Sampler和Substance 3D Painter中的254个CVE。其中四个漏洞通过Trend ZDI项目报告。

• Experience Manager：修复了225个CVE，其中大部分是跨站脚本（XSS）漏洞，但可能导致任意代码执行。
• Acrobat：修复了10个漏洞，可在打开文件时导致代码执行。
• InCopy：修复了两个严重级别的代码执行漏洞。
• InDesign：修复了九个CVE，其中五个是严重级别的代码执行漏洞，其余为内存泄漏。
• Substance 3D Sampler：修复了两个代码执行漏洞。
• Substance 3D Painter：修复了一个越界写入（OOB Write）漏洞。

所有修复的漏洞在发布时均未被公开披露或积极利用。

Microsoft 2025年6月补丁

微软本月发布了66个新CVE，涉及Windows和Windows组件、Office和Office组件、.NET和Visual Studio、Nuance Digital Engagement Platform以及Windows加密服务。加上第三方CVE，总计70个CVE。

• 严重级别：10个漏洞被评为严重，其余为重要。
• 被积极利用的漏洞：一个漏洞在发布时已被积极利用，另一个已被公开披露。

关键漏洞分析

CVE-2025-33053 – Web分布式创作与版本管理（WEBDAV）远程代码执行漏洞

此漏洞迫使Windows在各种遗留应用中使用已弃用的Internet Explorer（IE）。微软已为官方停止支持的平台（如Windows 8和Windows Server 2012）发布补丁。攻击需要用户点击恶意URL，但这是代码执行的唯一必要步骤。建议尽快修复。

CVE-2025-33070 – Windows Netlogon权限提升漏洞

此严重漏洞允许威胁参与者通过向受影响的域控制器发送特制认证请求，在域控制器上执行代码。代码可能以Netlogon服务级别运行，该服务具有提升的权限。微软将此漏洞标记为“可能被利用”。

CVE-2025-33073 – Windows SMB客户端权限提升漏洞

此漏洞已被公开披露，可导致SYSTEM级别的代码执行。攻击者通过诱使用户连接到恶意SMB服务器来触发漏洞。

CVE-2025-47162 – Microsoft Office远程代码执行漏洞

这是四个以预览窗格为攻击向量的Office相关漏洞之一。这些漏洞无需用户交互即可运行，通常与权限提升漏洞结合使用。由于预览窗格涉及其中，即使用户未点击可疑邮件也可能受影响。建议立即部署Office更新。

完整CVE列表

其他关键补丁

• Office预览窗格漏洞：其余三个Office漏洞同样以预览窗格为攻击向量。
• Power Automate漏洞：已由微软修复，无需用户操作。
• SharePoint RCE：需要低权限进行SQL注入。
• Kerberos KDC代理服务漏洞：允许攻击者通过恶意应用利用加密协议漏洞执行代码，仅影响注册为Kerberos KDC代理协议服务器的系统。
• Schannel漏洞：攻击者通过发送恶意分片ClientHello消息触发代码执行，需大量消息才能利用。
• Windows远程桌面服务漏洞：已于5月静默修复，现正式文档化。

其他漏洞类型

• 权限提升（EoP）：多数导致SYSTEM级别代码执行或管理员权限。
• 安全功能绕过（SFB）：涉及App Control策略和快捷文件安全绕过。
• 信息泄露：多数位于Windows存储管理提供程序，导致未指定内存内容泄露。
• 拒绝服务（DoS）：影响DHCP服务器和本地安全机构（LSA），但微软未提供详细信息。
• 欺骗漏洞：Nuance Digital Engagement Platform中的XSS漏洞，需启用“阻止XSS”字段进行防护。

总结与展望

本月无新公告发布。下一个补丁星期二将于2025年7月8日到来。请保持系统更新，确保安全。