- Microsoft on julkaissut korjauksia 66 haavoittuvuuteen kesäkuuhun 2025 mennessä, mukaan lukien kaksi nollapäivähaavoittuvuutta: yksi aktiivisesti hyödynnetty ja yksi julkisesti paljastettu.
- Kymmenen kriittistä haavoittuvuutta on korjattu, joista useimmat liittyvät etäkoodin suorittamiseen ja oikeuksien laajentamiseen.
- Vakavin nollapäivähaavoittuvuus (CVE-2025-33053) vaikuttaa WebDAViin ja sitä käytettiin kohdennetuissa hyökkäyksissä; se vaatii käyttäjän toimia.
- Myös muut valmistajat, kuten Adobe ja Google, ovat julkaisseet tässä kuussa asiaankuuluvia tietoturvapäivityksiä.
Microsoft julkaisi viime tiistaina 10. kesäkuuta 2025 tavanomaisen kuukausittaisen tietoturvakorjauksensa., joka tunnetaan nimellä Päivitystiistai, korjaten yhteensä 66 haavoittuvuutta. Niistä kaksi nollapäivää erottuu erityisen merkityksellisinä.Yhtä niistä hyödynnettiin jo aktiivisesti, ja toinen oli aiemmin julkistettu. Nämä päivitykset vaikuttavat useisiin Windows-versioihin ja Microsoft Office -sovelluspakettiin sekä muihin yrityksen tuotteisiin ja palveluihin.
La Haavoittuvuuksien kokonaismäärä kattaa eri luokkia, käyttöoikeuksien eskalointiongelmista etäkoodin suorittamiseen, tietojen paljastumiseen ja palvelunesto-ongelmiin. Virallisen erittelyn mukaan seuraavat on korjattu: 13 käyttöoikeuksien laajentamiseen liittyvää haavoittuvuutta, 25 etäkoodin suorittamiseen liittyvää haavoittuvuutta ja 17 tietomurtoamuiden joukossa.
Nollapäivät: mitä tässä kuussa on korjattu
Yksi merkittävimmistä korjatuista virheistä on CVE-2025-33053, joka vaikuttaa Windowsin Web Distributed Authoring and Versioning (WebDAV) -järjestelmään. Check Point Research havaitsi tämän haavoittuvuuden epäonnistuneen kyberhyökkäyksen jälkeen puolustusalan yritykseen Turkissa. Hyödyntämällä haavoittuvuutta hyökkääjät pystyivät suorittaa haitallista koodia haavoittuvilla tietokoneilla yksinkertaisesti saamalla uhrin napsauttamaan erityisesti luotua WebDAV-URL-osoitetta käyttämällä laillisia Windows-työkaluja rajoitusten ohittamiseen. Virallisten tietojen mukaan Microsoft julkaisi korjauspäivityksen saatuaan siitä tiedon tutkijoilta.
Toinen nollapäivä, CVE-2025-33073, vaikuttaa Windowsin SMB-asiakasohjelmaan ja sallii oikeuksien laajentamisen järjestelmätasolla Jos käyttäjä huijataan muodostamaan yhteys haitalliseen palvelimeen. Tämä ongelma julkistettiin ennen virallisen korjauspäivityksen saatavuutta, vaikka sitä voitaisiin lieventää ottamalla käyttöön SMB-allekirjoitus ryhmäkäytännön kautta. Microsoft on pitänyt tämän haavoittuvuuden löytämistä kansainvälisen kyberturvallisuusasiantuntijatiimin ansiota.
Kriittisten haavoittuvuuksien ja muiden virheiden korjaus
Nollapäivien lisäksi Kesäkuun 2025 päivitys on korjannut kymmenen kriittistä haavoittuvuutta, keskittyen pääasiassa seuraaviin tuotteisiin:
- Microsoft Office (mukaan lukien Excel, Outlook, Word ja PowerPoint): Useita etäkoodin suorittamiseen liittyviä haavoittuvuuksia, joita voitiin hyödyntää esikatseluruudun avulla haitallisen koodin suorittamiseksi järjestelmässä.
- Microsoft SharePoint Server: bugit, jotka mahdollistivat todennetut etähyökkäykset.
- Windowsin SchannelKryptografiseen tietoturvaan liittyvä muistivuoto-ongelma.
- Etätyöpöytäyhdyskäytävä: salli luvattoman pääsyn verkosta.
- Windowsin verkkokirjautuminen ja KDC-välityspalvelu: haavoittuvuuksia, jotka vaativat monimutkaisia hyökkäyksiä, mutta mahdollistivat käyttöoikeuksien laajentamisen.
- Microsoft Power AutomateCVSS-pistemäärän 9.8 saanut vika, jota pidetään korkean riskin vikana ja joka korjattiin aiemmin tässä kuussa.
Muut parannukset ovat vaikuttaneet Windows Installeriin, DHCP-protokollaan, järjestelmäohjaimiin ja tallennustilan hallintaan.Täydellinen luettelo korjauspäivityksistä on saatavilla Microsoftin virallisella verkkosivustolla niille, jotka tarvitsevat yksityiskohtaisen teknisen analyysin kustakin tapauksesta.
Kolmannen osapuolen tietoturvapäivitykset
Adobe, Cisco, Fortinet, Google, HPE, Ivanti, Qualcomm, Roundcube ja SAP ovat myös julkaisseet viimeaikaisia kriittisiä korjauksia tuotteilleen, reagoimalla samankaltaisiin tai mahdollisesti hyödynnettäviin tietoturvalöydöksiin. Kohokohtia ovat Adoben päivitykset Acrobat-, InDesign- ja Experience Manager -sovelluksille sekä Googlen korjaukset Androidille ja Chromellejotka peittävät useita aktiivisesti hyödynnettyjä haavoittuvuuksia.
Teknologiaekosysteemissä nähdään jatkuvaa tietoturvapäivitysten toimintaa tutkijoiden ja yritysten löytäessä uusia puutteita ja uhkia kehittyessä. Suositus Kyse on aina järjestelmien pitämisestä ajan tasalla ja laita laastarit heti välttääkseen tarpeettomia riskejä.
Ratkaistujen haavoittuvuuksien erittely
Joitakin kuukausittaisen päivityksen olennaisimpia haavoittuvuuksia ovat:
- CVE-2025-47162, CVE-2025-47164, CVE-2025-47167 ja CVE-2025-47953 (Toimisto): Mahdollisia hyökkäyksiä esikatseluruudun ja paikallisen käytön kautta.
- CVE-2025-47172 (SharePoint): Todennettujen käyttäjien etäsuoritus koodissa.
- CVE-2025-29828 (Schannel): Muistivuoto kryptografisissa palveluissa.
- CVE-2025-32710 (Etätyöpöydän yhdyskäytävä): Luvaton etäkäyttö.
- CVE-2025-33070 ja CVE-2025-47966Oikeuksien laajentaminen Netlogonissa ja Power Automatessa.
Korjaukset korjaavat myös kymmeniä kriittisiä virheitä, jotka kattavat useita käyttöjärjestelmän palveluita ja komponentteja, Office-sovelluksia ja hallinnollisia apuohjelmia. Microsoft korostaa teknisten muistiinpanojen tarkistamisen tärkeys jokaiseen päivitykseen liittyvät muutokset, erityisesti monimutkaisia järjestelmiä hallinnoiville, sillä jotkin muutokset saattavat vaatia erityistoimia tai lisätarkistuksia yritysympäristön kokoonpanosta riippuen.
Nämä kesäkuun 2025 päivitykset heijastavat Microsoftin pyrkimykset pysäyttää kehittyneitä hyökkäyksiä ja varmistaa järjestelmiensä eheystilanteessa, jossa haavoittuvuuksien hyödyntäminen on edelleen yksi suurimmista tietoturvauhkista.
Olen teknologian harrastaja, joka on muuttanut "nörtti"-harrastuksensa ammatiksi. Olen käyttänyt yli 10 vuotta elämästäni uusinta teknologiaa käyttäen ja kaikenlaisten ohjelmien parissa puhtaasta uteliaisuudesta. Nyt olen erikoistunut tietotekniikkaan ja videopeleihin. Tämä johtuu siitä, että yli 5 vuoden ajan olen työskennellyt kirjoittaen useille teknologiaa ja videopelejä käsitteleville verkkosivustoille ja luonut artikkeleita, jotka pyrkivät antamaan sinulle tarvitsemaasi tietoa kielellä, jota kaikki ymmärtävät.
Jos sinulla on kysyttävää, tietoni ulottuu kaikesta Windows-käyttöjärjestelmään liittyvästä sekä matkapuhelimien Androidista. Ja sitoumukseni on sinulle, olen aina valmis käyttämään muutaman minuutin ja auttamaan sinua ratkaisemaan kaikki kysymyksesi, joita sinulla saattaa olla tässä Internet-maailmassa.