Patch Tuesday - 2025年6月 | Rapid7 博客

Adam Barnett
2025年6月10日 | 最后更新于2025年8月1日 | 9分钟阅读

漏洞概览

微软在2025年6月补丁星期二共处理67个漏洞。其中仅有一个漏洞存在野外利用证据（已列入CISA KEV目录），另有一个漏洞存在公开披露记录。值得关注的是，微软连续第九个补丁星期二未出现被评为严重级别的零日漏洞。本次更新包含8个关键远程代码执行（RCE）漏洞，另有2个浏览器漏洞已于本月单独发布未计入总数。

Windows WebDAV：零日RCE漏洞

CVE-2025-33053 是Windows WebDAV实现七年来首次记录的零日漏洞。WebDAV标准最初于1990年代为支持Web交互性而设计，Exchange管理员可能熟悉该协议，因为Exchange Server 2010及更早版本使用WebDAV与邮箱和公共文件夹交互。

尽管Windows仍支持WebDAV，但微软自2023年11月已将其列为弃用功能（WebClient服务默认不启动）。攻击复杂度被评估为"低"，用户点击恶意链接即可触发漏洞。值得注意的是，所有Windows版本（包括Server 2025和Windows 11 24H2）均需打补丁，因为仍可通过安装WebDAV重定向器服务器功能启用WebClient服务。

微软确认Check Point Research（CPR）发现此漏洞，CPR将其归因于APT组织Stealth Falcon，该组织长期针对中东及周边地区的政府相关实体。

SMB客户端：零日EoP漏洞

CVE-2025-33073 是一个公开披露的提权零日漏洞，可导致获取SYSTEM权限。攻击者只需诱使用户连接其控制的恶意SMB服务器即可利用。微软咨询中存在矛盾描述：两个标题近似的FAQ条目对是否需要成功认证表述不一致，目前最安全的假设是攻击者占优势。

Windows KDC代理：关键RCE漏洞

Windows KDC代理服务（KPSSVC）的 CVE-2025-33071 是一个关键未认证RCE漏洞，通过滥用加密协议弱点实现利用。好消息是仅当Windows服务器配置为Kerberos密钥分发中心代理协议服务器时受影响（域控制器默认未启用），且攻击需要赢得竞态条件。坏消息是KDC代理很可能暴露在不可信网络中，因为其设计目的就是帮助不可信网络的Kerberos请求访问可信资产。本月受影响防御者应优先修补此漏洞。

Office预览窗格：三个关键RCE漏洞

微软评估三个Office关键RCE漏洞（CVE-2025-47162、CVE-2025-47164、CVE-2025-47167）更可能被利用。这些漏洞均由顶尖研究员0x140ce发现，均以预览窗格为攻击向量（显著增加防御难度）。需要注意的是，Microsoft 365 Apps for Enterprise用户需等待后续更新，因为当前补丁尚未覆盖该产品线。

Microsoft生命周期更新

2025年6月是企业产品生命周期变更的平静期。下一批重大变更将于2025年7月进行，包括SQL Server 2012 ESU计划终止和Visual Studio 2022 17.8 LTSC支持结束。

漏洞摘要表

Azure漏洞

CVE	标题	已利用？	公开披露？	CVSSv3基础分
CVE-2025-47977	Nuance数字互动平台欺骗漏洞	否	否	7.6

浏览器漏洞

CVE	标题	已利用？	公开披露？	CVSSv3基础分
CVE-2025-5419	Chromium: V8越界读写漏洞	否	否	N/A
CVE-2025-5068	Chromium: Blink释放后使用漏洞	否	否	N/A

开发者工具漏洞

CVE	标题	已利用？	公开披露？	CVSSv3基础分
CVE-2025-47962	Windows SDK提权漏洞	否	否	7.8
CVE-2025-30399	.NET和Visual Studio远程代码执行漏洞	否	否	7.5
CVE-2025-47959	Visual Studio远程代码执行漏洞	否	否	7.1

（后续漏洞表格按照相同格式展示，包含Microsoft Dynamics、Office、Windows等类别的详细漏洞信息）

2025年6月补丁星期二：67个漏洞分析与修复指南

微软2025年6月补丁星期二共修复67个漏洞，包括WebDAV零日RCE、SMB客户端提权漏洞、KDC代理服务关键RCE等。本文详细分析漏洞技术细节、攻击向量和修复优先级，帮助安全团队快速响应。