- Mae Microsoft wedi rhyddhau clytiau ar gyfer 66 o wendidau hyd at fis Mehefin 2025, gan gynnwys dau ddiwrnod sero: un wedi'i gamddefnyddio'n weithredol ac un wedi'i ddatgelu'n gyhoeddus.
- Mae deg gwendid critigol wedi'u trwsio, y mae'r rhan fwyaf ohonynt yn gysylltiedig â gweithredu cod o bell a dyrchafu breintiau.
- Mae'r un mwyaf difrifol (CVE-2025-33053) yn effeithio ar WebDAV ac fe'i defnyddiwyd mewn ymosodiadau wedi'u targedu; mae angen rhyngweithio â'r defnyddiwr.
- Mae gweithgynhyrchwyr eraill, fel Adobe a Google, hefyd wedi rhyddhau diweddariadau diogelwch perthnasol y mis hwn.
Ddydd Mawrth diwethaf, Mehefin 10, 2025, rhyddhaodd Microsoft ei ddarn diogelwch misol arferol, a elwir yn Patch Tuesday, gan gywiro cyfanswm o 66 o wendidau. Yn eu plith, mae dau ddiwrnod sero yn sefyll allan fel rhai arbennig o berthnasol.Roedd un ohonyn nhw eisoes yn cael ei gamddefnyddio'n weithredol, ac roedd un arall wedi'i ddatgelu'n gyhoeddus o'r blaen. Mae'r diweddariadau hyn yn effeithio ar wahanol fersiynau o Windows a chyfres o gymwysiadau Microsoft Office, yn ogystal â chynhyrchion a gwasanaethau eraill gan y cwmni.
La Mae cyfanswm y gwendidau yn cwmpasu gwahanol gategorïau, o broblemau cynyddu breintiau i weithredu cod o bell, problemau datgelu gwybodaeth, a phroblemau gwrthod gwasanaeth. Yn ôl y dadansoddiad swyddogol, mae'r canlynol wedi'u trwsio: 13 o wendidau codi breintiau, 25 o wendidau gweithredu cod o bell, a 17 o doriadau gwybodaethymhlith eraill.
Diwrnodau sero: yr hyn sydd wedi'i drwsio'r mis hwn
Un o'r bygiau mwyaf arwyddocaol a gafodd eu datrys yw CVE-2025-33053, sy'n effeithio ar y system Awduro a Fersiwn Dosbarthedig ar y We (WebDAV) yn Windows. Canfuwyd y bregusrwydd hwn gan Check Point Research yn dilyn seiber-ymosodiad aflwyddiannus ar gwmni amddiffyn yn Nhwrci. Caniataodd yr ymosodiad i ymosodwyr gweithredu cod maleisus ar gyfrifiaduron agored i niwed drwy gael y dioddefwr i glicio ar URL WebDAV wedi'i grefftio'n arbennig, gan ddefnyddio offer Windows cyfreithlon i osgoi cyfyngiadau. Yn ôl gwybodaeth swyddogol, Rhyddhaodd Microsoft y clwt ar ôl cael gwybod gan ymchwilwyr.
Yr ail ddiwrnod sero, CVE-2025-33073, yn effeithio ar y cleient Windows SMB a yn caniatáu cynyddu breintiau ar lefel y system Os caiff defnyddiwr ei dwyllo i gysylltu â gweinydd maleisus. Datgelwyd y broblem hon yn gyhoeddus cyn bod clwt swyddogol ar gael, er y gellid ei lliniaru trwy alluogi llofnodi SMB trwy bolisi grŵp. Mae Microsoft wedi priodoli darganfyddiad y bregusrwydd hwn i dîm rhyngwladol o arbenigwyr seiberddiogelwch.
Bregusrwyddau critigol a namau eraill wedi'u trwsio
Yn ogystal â diwrnodau sero, Mae diweddariad Mehefin 2025 wedi mynd i'r afael â deg gwendid critigol, gan ganolbwyntio'n bennaf ar y cynhyrchion canlynol:
- Microsoft Office (gan gynnwys Excel, Outlook, Word, a PowerPoint): Sawl nam gweithredu cod o bell y gellid eu hecsbloetio gan ddefnyddio'r cwarel rhagolwg i weithredu cod maleisus ar y system.
- Microsoft SharePoint Server: bygiau a oedd yn caniatáu ymosodiadau o bell dilys.
- Sianel WindowsProblem gollyngiad cof sy'n gysylltiedig â diogelwch cryptograffig.
- Remote Desktop Gateway: wedi caniatáu mynediad heb awdurdod o'r rhwydwaith.
- Windows Netlogon a Gwasanaeth Dirprwyol KDC: diffygion a oedd, er eu bod yn gofyn am ymosodiadau cymhleth, yn hwyluso cynyddu breintiau.
- Microsoft Power Automate: nam gyda sgôr CVSS o 9.8, a ystyrir yn risg uchel ac a gafodd ei drwsio'n flaenorol y mis hwn.
Mae gwelliannau eraill wedi effeithio ar Windows Installer, y protocol DHCP, gyrwyr system a rheoli storio.Mae'r rhestr gyflawn o glytiau ar gael ar wefan swyddogol Microsoft i'r rhai sydd angen dadansoddiad technegol manwl o bob achos.
Diweddariadau diogelwch trydydd parti
Mae Adobe, Cisco, Fortinet, Google, HPE, Ivanti, Qualcomm, Roundcube a SAP hefyd wedi cyhoeddi clytiau hollbwysig yn ddiweddar ar gyfer ei gynhyrchion, gan ymateb i ddarganfyddiadau diogelwch tebyg neu rai y gellid eu camfanteisio arnynt o bosibl. Mae'r uchafbwyntiau'n cynnwys Diweddariadau Adobe ar gyfer ei gymwysiadau Acrobat, InDesign, a Experience Manager, ac atgyweiriadau Google ar gyfer Android a Chrome, sy'n cuddio nifer o wendidau sy'n cael eu hecsbloetio'n weithredol.
Mae ecosystem y dechnoleg yn parhau i weld gweithgaredd cyson o ran clytiau diogelwch wrth i ymchwilwyr a chwmnïau ddarganfod diffygion a bygythiadau newydd esblygu. Mae bob amser yn ymwneud â chadw systemau'n gyfredol a rhoi'r clytiau ar waith ar unwaith para evitar riesgos innecesarios.
Dadansoddiad o wendidau wedi'u datrys
Dyma rai o'r gwendidau mwyaf perthnasol sydd wedi'u cynnwys yn y diweddariad misol:
- CVE-2025-47162, CVE-2025-47164, CVE-2025-47167 a CVE-2025-47953 (Office): Ymosodiadau posibl drwy'r panel rhagolwg a mynediad lleol.
- CVE-2025-47172 (SharePoint): Gweithredu cod o bell gan ddefnyddwyr dilys.
- CVE-2025-29828 (Schannel): Gollyngiad cof mewn gwasanaethau cryptograffig.
- CVE-2025-32710 (Porth Penbwrdd o Bell): Mynediad o bell heb awdurdod.
- CVE-2025-33070 y CVE-2025-47966: Dyrchafu breintiau yn Netlogon a Power Automate.
Mae'r clytiau hefyd yn mynd i'r afael â dwsinau o fygiau critigol, sy'n cwmpasu nifer o wasanaethau a chydrannau system weithredu, cymwysiadau Office, a chyfleustodau gweinyddol. Mae Microsoft yn tynnu sylw at y pwysigrwydd adolygu nodiadau technegol sy'n gysylltiedig â phob diweddariad, yn enwedig i'r rhai sy'n rheoli systemau cymhleth, gan y gallai rhai newidiadau olygu bod angen camau gweithredu penodol neu wiriadau ychwanegol yn dibynnu ar gyfluniad yr amgylchedd corfforaethol.
Mae'r diweddariadau hyn ym mis Mehefin 2025 yn adlewyrchu'r Ymdrech Microsoft i atal ymosodiadau soffistigedig a sicrhau cyfanrwydd ei systemau, mewn cyd-destun lle mae camfanteisio ar wendidau yn parhau i fod yn un o'r prif fygythiadau i ddiogelwch cyfrifiadurol.
Rwy'n frwd dros dechnoleg sydd wedi troi ei ddiddordebau "geek" yn broffesiwn. Rwyf wedi treulio mwy na 10 mlynedd o fy mywyd yn defnyddio technoleg flaengar ac yn tinkering gyda phob math o raglenni allan o chwilfrydedd pur. Nawr rydw i wedi arbenigo mewn technoleg gyfrifiadurol a gemau fideo. Mae hyn oherwydd ers mwy na 5 mlynedd rwyf wedi bod yn ysgrifennu ar gyfer gwefannau amrywiol ar dechnoleg a gemau fideo, gan greu erthyglau sy'n ceisio rhoi'r wybodaeth sydd ei hangen arnoch mewn iaith sy'n ddealladwy i bawb.
Os oes gennych unrhyw gwestiynau, mae fy ngwybodaeth yn amrywio o bopeth sy'n ymwneud â system weithredu Windows yn ogystal ag Android ar gyfer ffonau symudol. Ac mae fy ymrwymiad i chi, rwyf bob amser yn barod i dreulio ychydig funudau a'ch helpu i ddatrys unrhyw gwestiynau sydd gennych yn y byd rhyngrwyd hwn.