2025年6月补丁星期二

2025年6月10日

微软今日发布安全更新，修复了Windows操作系统及软件中的至少67个漏洞。微软警告称，其中一个漏洞已被积极利用，且本月修复的一个普遍Windows漏洞的利用蓝图已公开。

本月唯一的零日漏洞是CVE-2025-33053，这是Windows WebDAV实现中的远程代码执行漏洞。WebDAV是一种HTTP扩展，允许用户远程管理服务器上的文件和目录。Automox的高级安全工程师Seth Hoyt表示，虽然WebDAV在Windows中默认未启用，但它在遗留或专用系统中的存在仍使其成为相关目标。

Rapid7的首席软件工程师Adam Barnett指出，微软关于CVE-2025-33053的公告未提及Windows WebDAV实现自2023年11月起已被列为弃用，这意味着WebClient服务默认不再启动。Barnett说：“公告还将攻击复杂性列为低，这意味着利用不需要以超出攻击者控制的方式准备目标环境。利用依赖于用户点击恶意链接。如果服务未运行，资产如何立即易受攻击尚不清楚，但所有Windows版本都收到了补丁，包括自WebClient弃用后发布的版本，如Server 2025和Windows 11 24H2。”

微软警告称，Windows服务器消息块（SMB）客户端中的权限提升漏洞（CVE-2025-33073）很可能被利用，因为该漏洞的概念验证代码已公开。CVE-2025-33073的CVSS风险评分为8.8（满分10），利用该漏洞会导致攻击者获得对易受攻击PC的“SYSTEM”级别控制。Action1的联合创始人兼CEO Alex Vovk表示：“这使得此漏洞特别危险，因为在初始连接后不需要进一步的用户交互——攻击者通常可以在用户未意识到的情况下触发。鉴于高权限级别和易于利用，此漏洞对Windows环境构成重大风险。受影响系统的范围广泛，因为SMB是用于文件和打印机共享以及进程间通信的核心Windows协议。”

除了这些重点，本月修复的漏洞中有10个被微软评为“严重”，包括8个远程代码执行漏洞。

本月补丁批次中明显缺少对Windows Server 2025中新发现弱点的修复，该弱点允许攻击者以Active Directory中任何用户的权限操作。该漏洞被研究人员称为“BadSuccessor”，由Akamai于5月21日公开披露，目前已有多个公开的概念验证。Tenable的Satnam Narang表示，拥有至少一个Windows Server 2025域控制器的组织应审查主体权限并尽可能限制这些权限。

Adobe发布了Acrobat Reader和其他六款产品的更新，修复了至少259个漏洞，其中大部分在Experience Manager的更新中。Mozilla Firefox和Google Chrome均最近发布了需要重启浏览器才能生效的安全更新。最新的Chrome更新修复了浏览器中的两个零日漏洞（CVE-2025-5419和CVE-2025-4664）。

有关微软今日发布的个别安全更新的详细分析，请查看SANS Internet Storm Center的补丁星期二综述。Action1提供了微软和其他本月发布修复的软件供应商的补丁分析。一如既往，请在打补丁前备份系统和/或数据，如果在应用这些更新时遇到任何问题，请在评论中留言。