2025年6月安全更新回顾
2025年6月10日 | Dustin Childs
本月第二个星期二,微软和Adobe发布了最新的安全更新,共涉及254个CVE漏洞。让我们详细分析这些安全公告的内容。
Adobe 2025年6月补丁
Adobe本月发布了七份公告,修复了Adobe Acrobat Reader、InCopy、Experience Manager、Commerce、InDesign、Substance 3D Sampler和Substance 3D Painter中的254个CVE。其中四个漏洞通过Trend ZDI项目报告。
这些补丁中,Adobe将Commerce的修复评为优先级1,尽管声明这五个CVE没有已知漏洞利用。最大的更新影响Experience Manager,单独修复了225个CVE——尽管大多数只是跨站脚本(XSS)漏洞。但XSS漏洞可能导致任意代码执行。
其余更新中,Acrobat的修复涵盖10个可能导致在打开即拥有场景中代码执行的漏洞。InCopy的修复解决了两个严重级别的代码执行漏洞。InDesign的九个CVE中有五个也是严重级别的代码执行漏洞,其余是内存泄漏。Substance 3D Sampler的修复也解决了两个代码执行漏洞。最后,Adobe的6月发布以Substance 3D Painter中的一个越界写入(OOB)漏洞修复结束。
Adobe本月修复的所有漏洞在发布时都没有被列为公开已知或正在被主动攻击。
Microsoft 2025年6月补丁
本月,微软在Windows和Windows组件、Office和Office组件、.NET和Visual Studio、Nuance Digital Engagement Platform和Windows加密服务中发布了合理的66个新CVE。其中三个漏洞通过Trend ZDI项目报告。加上记录的额外第三方CVE,总CVE数达到70个。
今天发布的补丁中,10个被评为严重,其余在严重性上评为重要。这个修复数量对于6月来说相对典型,但确实使微软在同比发布的CVE方面领先于去年同期的位置。这也是Office相关漏洞的又一次大规模发布。时间会告诉我们这些漏洞是否会进入未来的漏洞利用工具包。
微软列出一个漏洞在发布时正在被主动攻击,另一个是公开已知的。让我们仔细看看本月一些更有趣的更新,从当前在野外被利用的漏洞开始:
-
CVE-2025-33053 – Web分布式创作和版本控制(WEBDAV)远程代码执行漏洞
Internet Explorer(IE)的幽灵仍然困扰着我们,因为这个漏洞迫使Windows在各种传统应用程序中使用已弃用的浏览器。微软没有说明这些攻击的广泛程度,但他们采取了非凡的步骤,为官方不再支持的平台(如Windows 8和Windows Server 2012)制作补丁。漏洞利用确实需要用户点击恶意URL,但这是代码执行的唯一必要步骤。鉴于微软为不再支持的操作系统制作了更新,我会快速修补这个漏洞。 -
CVE-2025-33070 – Windows Netlogon权限提升漏洞
这个严重级别的漏洞允许威胁行为者通过向受影响的域控制器发送特制的认证请求,在域控制器上执行他们的代码。虽然没有明确说明,但可以假设代码将以Netlogon服务的级别运行,该服务确实以提升的权限运行。微软还将此列为“更可能被利用”的漏洞,考虑到结果,在接下来的几个月中看到这个漏洞被利用不会让我感到惊讶。 -
CVE-2025-33073 – Windows SMB客户端权限提升漏洞
这个漏洞被列为公开已知,多个研究人员因报告而受到赞誉。它导致在SYSTEM级别执行代码,可以通过说服用户连接到攻击者控制的恶意应用程序服务器来触发。最明显的选择是SMB服务器。连接后,恶意服务器可以破坏受影响的系统并提升权限。 -
CVE-2025-47162 – Microsoft Office远程代码执行漏洞
这是四个(!)Office相关漏洞之一,其中预览窗格是攻击向量。大多数这些漏洞也被赋予最高的漏洞利用指数评级,这意味着微软预计在30天内公开利用。由于这些漏洞在没有用户交互的情况下运行,它们通常与权限提升漏洞配对以接管系统。而且由于预览窗格在起作用,即使用户不点击那封可疑的邮件也没关系。不要等待本月推出Office更新。
以下是微软2025年6月发布的CVE完整列表:
| CVE | 标题 | 严重性 | CVSS | 公开 | 利用 | 类型 |
|---|---|---|---|---|---|---|
| CVE-2025-33053 | Web分布式创作和版本控制(WEBDAV)远程代码执行漏洞 | 重要 | 8.8 | 否 | 是 | RCE |
| CVE-2025-33073 | Windows SMB客户端权限提升漏洞 | 重要 | 8.8 | 是 | 否 | EoP |
| CVE-2025-47162 | Microsoft Office远程代码执行漏洞 | 严重 | 8.4 | 否 | 否 | RCE |
| … | … | … | … | … | … | … |
*表示此CVE已由第三方发布,现在包含在微软发布中。
†表示需要进一步的管理操作来完全解决漏洞。
继续6月的其他严重级别补丁,还有其他以预览窗格为攻击向量的Office漏洞。Power Automate中有一个看起来可怕的漏洞,但微软已经解决了这个问题,不需要客户操作。有一个SharePoint RCE需要低权限来执行SQL注入。Kerberos KDC代理服务中有一个漏洞,允许攻击者使用恶意应用程序利用加密协议中的漏洞在受影响的系统上执行他们的代码。幸运的是,这仅限于注册为Kerberos KDC代理协议服务器的系统。域控制器不受影响。Schannel中还有另一个与加密相关的漏洞。攻击者可以通过向接受传输层安全(TLS)连接的目标服务器发送恶意的分段ClientHello消息来获得代码执行——并且需要大量这些消息来触发漏洞利用。这应该相对容易检测,假设你在寻找这样的事情。6月最后一个严重级别的漏洞是针对Windows远程桌面服务的。这个漏洞在5月被静默修补,现在才被记录。我没有墨水解释静默补丁可能有多糟糕,但请注意。
查看剩余的代码执行漏洞,Office组件中有大量打开即拥有类型的漏洞。对于这些,需要用户交互,预览窗格不是攻击向量。还有我们每月剂量的RRAS服务漏洞。SharePoint中有两个反序列化漏洞有些令人困惑。它们被评为重要,但与严重的SharePoint漏洞具有完全相同的CVSS。SQL注入比反序列化糟糕得多吗?最后,.NET和Visual Studio中有一对DLL加载漏洞。
本月的发布中只有少数权限提升(EoP)漏洞,我们已经涵盖了最重要的。除此之外,剩余的漏洞仅仅导致SYSTEM级别的代码执行或管理权限,如果认证用户运行特制代码。唯一需要额外提及的漏洞发生在Windows SDK中。如果你不熟悉安装和维护SDK,微软提供了这份文档以获取更多信息。
本月的发布中有两个安全功能绕过(SFB)补丁。第一个在App Control中,解决了一个可以绕过App Control策略的漏洞。另一个绕过了快捷文件安全。虽然这个没有被列为正在被主动攻击,但我们在最近过去看到这种类型的漏洞被勒索软件使用。
6月的发布包括比EoP漏洞更多的信息泄露漏洞修复。幸运的是,大多数这些漏洞在Windows存储管理提供程序中,只导致由未指定内存内容组成的信息泄漏。这在利用系统上的组件时是有用的信息,但 otherwise not quite riveting。这里唯一真正的例外影响Windows基于虚拟化的安全(VBS)。这个漏洞可能导致泄露属于受影响应用程序用户的秘密或特权信息。VBS是一个较新的功能,旨在创建一个孤立的虚拟环境,成为操作系统的信任根,假设内核可能被破坏,所以看到它这么快被 targeting 很有趣。
本次发布中有半打拒绝服务(DoS)漏洞的补丁。然而,微软没有提供关于这些漏洞的可操作信息。相反,他们只是声明攻击者可以通过网络拒绝该组件的服务。考虑到受影响的组件包括DHCP服务器和本地安全机构(LSA),很想知道这些漏洞是临时DoS还是永久性的。需要重启吗?如果漏洞利用停止,系统会响应吗?世界可能永远不会知道。
最后,Nuance Digital Engagement Platform中有一个单独的欺骗漏洞,该平台(根据供应商)为医疗解决方案提供AI驱动的全渠道技术。漏洞本身是一个跨站脚本(XSS)漏洞,将允许攻击者读取目标浏览器中的信息。要完全保护免受此漏洞的影响,你需要在他们的程序的配置设置中启用“阻止XSS”字段以防止JavaScript注入。根据微软的说法,“所有受影响的客户已由Nuance团队通知进行此更新。”如果你是Nuance用户,我仍然会检查以确保你受到保护。
本月没有发布新的公告。
展望
2025年的下一个补丁星期二将在7月8日,届时我将回来分析并思考发布内容。直到那时,保持安全,快乐打补丁,愿你所有的重启顺利干净!