微软今日发布安全更新，修复了Windows操作系统及软件中至少67个漏洞。雷德蒙德公司警告称其中一个漏洞已被活跃利用，且本月修复的某个普遍性Windows漏洞的利用蓝图已公开。

本月唯一的零日漏洞是CVE-2025-33053，这是Windows WebDAV实现中的远程代码执行漏洞。WebDAV作为HTTP扩展协议，允许用户远程管理服务器上的文件和目录。Automox高级安全工程师Seth Hoyt指出，虽然WebDAV在Windows中默认未启用，但在遗留或专用系统中的存在仍使其成为相关攻击目标。

Rapid7首席软件工程师Adam Barnett表示，微软的漏洞公告未提及Windows WebDAV实现自2023年11月起已被列为弃用状态，这意味着WebClient服务默认不再启动。“该漏洞的攻击复杂度被评估为低级别，表明攻击者无需准备目标环境即可利用，仅需用户点击恶意链接。“Barnett补充道。

微软警告称，Windows服务器消息块(SMB)客户端中的权限提升漏洞(CVE-2025-33073)很可能被利用，因为该漏洞的概念验证代码已公开。该漏洞CVSS风险评分为8.8分（满分10分），成功利用可使攻击者获得对受害PC的"SYSTEM"级控制权。Action1联合创始人Alex Vovk强调：“最危险的是初始连接后无需进一步用户交互，攻击者通常能在用户无感知的情况下触发漏洞。”

本月修复的漏洞中有10个被微软评为"严重"级别，包含8个远程代码执行漏洞。值得注意的是，本月更新未包含针对Windows Server 2025中"BadSuccessor"漏洞的修复，该漏洞允许攻击者以Active Directory中任意用户权限执行操作。

Adobe发布了Acrobat Reader等7款产品的更新，修复至少259个漏洞，其中大部分在Experience Manager的更新中。Mozilla Firefox和Google Chrome均发布了需要重启浏览器生效的安全更新，其中Chrome修复了两个零日漏洞(CVE-2025-5419和CVE-2025-4664)。

建议用户在安装补丁前做好系统备份。如需详细更新清单，可参考SANS互联网风暴中心的补丁星期二汇总报告。