2025年6月补丁星期二

最后更新：2025年6月10日

作者：Chris Goettl
分类：补丁星期二、安全、补丁管理

关键要点

• 微软修复了67个新CVE，包括一个零日漏洞利用和一个公开披露漏洞。
• Google Chrome在过去几周修复了两个零日漏洞利用。
• Adobe通过五次更新解决了259个CVE。

内容详情

六月补丁星期二已经到来。过去几周活动频繁：五月中旬举办了Pwn2Own Berlin 2025活动，支付了100万美元的奖励，同时发现了许多影响微软、Google、Mozilla、VMware、NVIDIA、Oracle和其他供应商的新漏洞。自活动以来，许多供应商发布了多次更新，因此预计本月将有大量第三方更新发布，直至补丁星期二。

微软发布了解决66个CVE的更新，其中9个被评为严重。此外，还有一个公开披露和一个零日漏洞利用。本月的更新影响Windows、Office、SharePoint、Visual Studio和.Net。零日漏洞和公开披露均通过本月的Windows OS更新解决。

补丁星期二之前的Mozilla、Google（包括两个最近的零日漏洞利用）和Adobe的第三方更新将增加工作量。如果您的组织每周更新浏览器等应用程序以跟上常用于针对最终用户的持续发布应用程序，那么除了Adobe之外，您应该已经是最新的。如果没有，请确保将这些更新排队以进行补丁维护。

微软利用的漏洞

微软解决了Web分布式创作和版本控制（WEBDAV）中的一个远程代码执行漏洞（CVE-2025-33053），微软已确认该漏洞在野外被利用。微软将该CVE评为重要，其CVSS v3.1得分为8.8。基于风险的优先级应将其视为严重。

微软公开披露的漏洞

微软解决了Windows SMB客户端中的一个权限提升漏洞（CVE-2025-33073），微软已确认该漏洞已公开披露。微软将该CVE评为重要，其CVSS v3.1得分为8.8。代码成熟度为概念验证，且该漏洞可远程利用，这将使其成为威胁行为者的理想目标。基于风险的优先级方法应将其视为严重。

第三方漏洞

Google Chrome继续其每周安全更新节奏。预计本周将发布Chrome更新，以补充自五月补丁星期二以来的四次发布和14个CVE修复。这包括过去几周修复的两个零日漏洞利用（CVE-2025-5419和CVE-2025-4664）。

自Pwn2Own Berlin活动以来，Mozilla发布了多个安全更新。活动中利用的两个CVE在5月17日发布（Firefox 138.0.4）中解决，此后Mozilla发布了Firefox 139和139.0.4，以及Firefox ESR和Thunderbird的更新。请确保在本补丁星期二排队最新的Mozilla更新。

Adobe发布了Acrobat Reader和其他六个产品的更新，解决了259个CVE。其中225个包含在Experience Manager更新中，由少数勤奋的安全研究人员贡献了大量内容。

Ivanti安全公告

Ivanti为六月补丁星期二发布了一个更新，共解决了三个CVE。受影响的产品是Ivanti Workspace Control。更多详情，您可以在Ivanti博客的六月安全更新中查看提供的信息。

六月更新优先级

• Windows OS是本月的最高优先级，包含一个零日漏洞利用（CVE-2025-33053）和一个公开披露（CVE-2025-33073）。
• 如果您尚未部署6月2日及更早的更新，Google Chrome应是最高优先级，因为它将解决两个零日漏洞利用（CVE-2025-5419和CVE-2025-4664）。
• 浏览器通常应每周更新以跟上持续发布周期。自五月补丁星期二以来，Edge、Chrome和Firefox收到了多次更新，包括多次高调披露和零日漏洞利用。