主要要点
- 微软修复了67个新CVE,包括1个零日漏洞和1个公开披露漏洞
- 谷歌浏览器在过去几周修复了两个零日漏洞
- Adobe通过五次更新修复了259个CVE
六月补丁星期二概览
六月补丁星期二已经到来。过去几周安全领域异常活跃:五月中旬举办的Pwn2Own Berlin 2025活动支付了100万美元奖金,随之曝光了大量影响微软、谷歌、Mozilla、VMware、NVIDIA、Oracle等厂商的新漏洞。活动结束后,多家厂商陆续发布更新,因此本月需要处理大量第三方更新。
微软本次发布了修复66个CVE的更新(其中9个被评为严重级别),另包含1个公开披露和1个零日漏洞。本月更新影响Windows、Office、SharePoint、Visual Studio和.NET框架,零日漏洞和公开披露问题均通过本月Windows操作系统更新解决。
Mozilla、谷歌(包含近期两个零日漏洞修复)和Adobe在补丁星期二前发布的第三方更新将增加工作负荷。如果企业每周更新浏览器等持续发布应用程序以保持终端用户安全,则除Adobe外均应处于最新状态,否则需确保将这些更新纳入修补维护队列。
微软漏洞利用情况
微软修复了Web分布式创作与版本管理(WEBDAV)中的远程代码执行漏洞(CVE-2025-33053),并确认该漏洞已被野外利用。微软将该CVE评级为"重要",CVSS v3.1评分8.8分,基于风险优先级排序时应视为"严重"级别。
微软公开披露漏洞
微软修复了Windows SMB客户端中的权限提升漏洞(CVE-2025-33073),并确认该漏洞已被公开披露。该CVE评级为"重要",CVSS v3.1评分8.8分。由于存在概念验证代码且可远程利用,该漏洞将成为威胁攻击者的重点目标,基于风险的优先级排序应视为"严重"。
第三方漏洞
谷歌Chrome保持每周安全更新节奏。自五月补丁星期二以来已发布四个版本修复14个CVE,本周预计还将发布更新,包含过去几周修复的两个零日漏洞(CVE-2025-5419和CVE-2025-4664)。
Mozilla在Pwn2Own Berlin活动后发布了多个安全更新。活动中利用的两个CVE已在5月17日版本(Firefox 138.0.4)中修复,后续又发布了Firefox 139和139.0.4版本,以及Firefox ESR和Thunderbird更新。请确保在本月补丁星期二队列中包含最新Mozilla更新。
Adobe为Acrobat Reader等七款产品发布更新,共修复259个CVE,其中225个包含在Experience Manager更新中,这些成果离不开多位安全研究人员的辛勤贡献。
Ivanti安全公告
Ivanti为六月补丁星期二发布了一个更新,共修复三个CVE,受影响产品为Ivanti Workspace Control。更多详情请参阅Ivanti博客的六月安全更新专题。
六月更新优先级
- Windows操作系统为最高优先级,需处理1个零日漏洞(CVE-2025-33053)和1个公开披露漏洞(CVE-2025-33073)
- 谷歌Chrome若未部署6月2日及之前更新应作为重点,涉及两个零日漏洞修复(CVE-2025-5419和CVE-2025-4664)
- 浏览器类软件应保持每周更新节奏。Edge、Chrome和Firefox自五月补丁星期二以来已发布多次更新,包含多个高危披露和零日漏洞修复