- 66 წლის ივნისის მონაცემებით, Microsoft-მა 2025 დაუცველობის გამოსწორების პატჩი გამოუშვა, მათ შორის ორი ნულოვანი დღის: ერთი აქტიურად გამოყენებული და ერთი საჯაროდ გამოქვეყნებული.
- გამოსწორდა ათი კრიტიკული დაუცველობა, რომელთა უმეტესობა დაკავშირებულია კოდის დისტანციურ შესრულებასთან და პრივილეგიების ამაღლებასთან.
- ყველაზე მძიმე ნულოვანი დღე (CVE-2025-33053) გავლენას ახდენს WebDAV-ზე და გამოიყენებოდა მიზნობრივი შეტევებისთვის; ის მომხმარებლის ინტერაქციას მოითხოვს.
- სხვა მწარმოებლებმა, როგორიცაა Adobe და Google, ასევე გამოუშვეს შესაბამისი უსაფრთხოების განახლებები ამ თვეში.
გასულ სამშაბათს, 10 წლის 2025 ივნისს, Microsoft-მა გამოუშვა თავისი ჩვეული ყოველთვიური უსაფრთხოების პატჩი., ცნობილი როგორც Patch Tuesday, სულ 66 დაუცველობის გამოსწორებით. მათ შორის, განსაკუთრებით აქტუალურია ორი ნულოვანი დღე.ერთ-ერთი მათგანი უკვე აქტიურად გამოიყენებოდა, ხოლო მეორე ადრე საჯაროდ იყო გამჟღავნებული. ეს განახლებები გავლენას ახდენს Windows-ის სხვადასხვა ვერსიასა და Microsoft Office-ის აპლიკაციების კომპლექტზე, ასევე კომპანიის სხვა პროდუქტებსა და სერვისებზე.
La დაუცველობების საერთო რაოდენობა სხვადასხვა კატეგორიას მოიცავს, პრივილეგიების ესკალაციის პრობლემებიდან დაწყებული, კოდის დისტანციური შესრულებით, ინფორმაციის გამჟღავნების პრობლემებითა და მომსახურების უარყოფის პრობლემებით დამთავრებული. ოფიციალური ინფორმაციის თანახმად, შემდეგი პრობლემები გამოსწორდა: პრივილეგიების ამაღლების 13 დაუცველობა, დისტანციური კოდის შესრულების 25 დაუცველობა და ინფორმაციის დარღვევის 17 შემთხვევასხვათა შორის.
ნულოვანი დღეები: რა გამოსწორდა ამ თვეში
ერთ-ერთი ყველაზე მნიშვნელოვანი შეცდომა, რომელიც გამოსწორდა, არის CVE-2025-33053., რომელიც გავლენას ახდენს Windows-ის ვებ-განაწილებულ ავტორიზაციასა და ვერსიონირებაზე (WebDAV). ეს დაუცველობა Check Point Research-მა აღმოაჩინა თურქეთში თავდაცვის კომპანიაზე წარუმატებელი კიბერშეტევის შემდეგ. ექსპლოიტმა თავდამსხმელებს საშუალება მისცა მავნე კოდის შესრულება დაუცველ კომპიუტერებზე უბრალოდ მსხვერპლის მიერ სპეციალურად შექმნილ WebDAV URL-ზე დაწკაპუნებით, შეზღუდვების გვერდის ავლის მიზნით ლეგიტიმური Windows ინსტრუმენტების გამოყენებით. ოფიციალური ინფორმაციის თანახმად, Microsoft-მა გამოუშვა პატჩი მკვლევარების ინფორმირების შემდეგ..
მეორე ნულოვანი დღე, CVE-2025-33073, გავლენას ახდენს Windows SMB კლიენტზე და სისტემის დონეზე პრივილეგიების ესკალაციის საშუალებას იძლევა თუ მომხმარებელი მოტყუებით დაუკავშირდება მავნე სერვერს. ეს პრობლემა საჯაროდ გახმაურდა ოფიციალური პატჩის გამოშვებამდე, თუმცა მისი შემსუბუქება შესაძლებელი იყო ჯგუფური პოლიტიკის მეშვეობით SMB ხელმოწერის ჩართვით. Microsoft-მა ამ დაუცველობის აღმოჩენა კიბერუსაფრთხოების ექსპერტების საერთაშორისო გუნდს მიაწერა.
გამოსწორებულია კრიტიკული დაუცველობები და სხვა შეცდომები
ნულოვანი დღეების გარდა, 2025 წლის ივნისის განახლებამ ათი კრიტიკული დაუცველობა მოაგვარა, ძირითადად ფოკუსირებული შემდეგ პროდუქტებზე:
- Microsoft Office (მათ შორის Excel, Outlook, Word და PowerPoint): დისტანციური კოდის შესრულების რამდენიმე ხარვეზი, რომელთა გამოყენება შესაძლებელია წინასწარი გადახედვის პანელის გამოყენებით სისტემაზე მავნე კოდის გასაშვებად.
- Microsoft SharePoint Server: შეცდომები, რომლებიც ავტორიზებული დისტანციური შეტევების საშუალებას იძლეოდა.
- Windows Schannelკრიპტოგრაფიულ უსაფრთხოებასთან დაკავშირებული მეხსიერების გაჟონვის პრობლემა.
- Remote Desktop Gateway: ქსელიდან არაავტორიზებული წვდომა დაშვებულია.
- Windows Netlogon და KDC Proxy Service: ხარვეზები, რომლებიც, მიუხედავად იმისა, რომ რთულ შეტევებს მოითხოვდა, ხელს უწყობდა პრივილეგიების ესკალაციას.
- Microsoft Power Automate: შეცდომა CVSS-ის 9.8 ქულით, რომელიც მაღალი რისკის შემცველად ითვლება და ამ თვეში გამოსწორდა.
სხვა გაუმჯობესებებმა გავლენა მოახდინა Windows Installer-ზე, DHCP პროტოკოლზე, სისტემის დრაივერებსა და საცავის მართვაზე.პატჩების სრული სია ხელმისაწვდომია Microsoft-ის ოფიციალურ ვებსაიტზე მათთვის, ვისაც თითოეული შემთხვევის დეტალური ტექნიკური ანალიზი სჭირდება.
მესამე მხარის უსაფრთხოების განახლებები
Adobe-მ, Cisco-მ, Fortinet-მა, Google-მა, HPE-მ, Ivanti-მ, Qualcomm-მა, Roundcube-მა და SAP-მა ასევე გამოაქვეყნეს მისი პროდუქტებისთვის ბოლო დროს კრიტიკული პატჩები, რეაგირება მსგავს ან პოტენციურად ექსპლუატაციაში მყოფ უსაფრთხოების აღმოჩენებზე. მნიშვნელოვანი მომენტებია Adobe-ის განახლებები Acrobat-ის, InDesign-ისა და Experience Manager აპლიკაციებისთვის, ხოლო Google-ის მიერ Android-ისა და Chrome-ის შესწორებები, რომლებიც ფარავს რამდენიმე აქტიურად ექსპლუატირებულ დაუცველობას.
ტექნოლოგიური ეკოსისტემა კვლავ განიცდის უსაფრთხოების მუდმივი აქტივობის ამაღლებას, რადგან მკვლევარები და კომპანიები აღმოაჩენენ ახალ ხარვეზებს და საფრთხეების განვითარებას. რეკომენდაცია საქმე ყოველთვის სისტემების განახლებაშია და დაუყოვნებლივ წაისვით პლასტირები ზედმეტი რისკების თავიდან ასაცილებლად.
გადაჭრილი დაუცველობების დაშლა
ყოველთვიურ განახლებაში შეტანილი ზოგიერთი ყველაზე მნიშვნელოვანი დაუცველობაა:
- CVE-2025-47162, CVE-2025-47164, CVE-2025-47167 და CVE-2025-47953 (ოფისი): შესაძლო შეტევები წინასწარი გადახედვის პანელისა და ლოკალური წვდომის საშუალებით.
- CVE-2025-47172 (SharePoint): კოდის დისტანციური შესრულება ავტორიზებული მომხმარებლების მიერ.
- CVE-2025-29828 (Schannel): მეხსიერების გაჟონვა კრიპტოგრაფიულ სერვისებში.
- CVE-2025-32710 (დისტანციური სამუშაო მაგიდის კარიბჭე): არაავტორიზებული დისტანციური წვდომა.
- CVE-2025-33070 y CVE-2025-47966პრივილეგიების ამაღლება Ալեքսանդրსა და Power Automate-ში.
პატჩები ასევე აგვარებს ათობით კრიტიკულ შეცდომას, რომლებიც მოიცავს ოპერაციული სისტემის მრავალ სერვისსა და კომპონენტს, Office აპლიკაციებსა და ადმინისტრაციულ კომუნალურ პროგრამებს. Microsoft ხაზს უსვამს შემდეგს: ტექნიკური შენიშვნების განხილვის მნიშვნელობა თითოეულ განახლებასთან დაკავშირებული, განსაკუთრებით რთული სისტემების მმართველებისთვის, რადგან ზოგიერთი ცვლილება შეიძლება მოითხოვდეს კონკრეტულ ქმედებებს ან დამატებით დადასტურებას კორპორატიული გარემოს კონფიგურაციიდან გამომდინარე.
2025 წლის ივნისის ეს განახლებები ასახავს Microsoft-ის ძალისხმევა დახვეწილი შეტევების შესაჩერებლად და მისი სისტემების მთლიანობის უზრუნველსაყოფად, იმ კონტექსტში, როდესაც დაუცველობების ექსპლუატაცია კომპიუტერული უსაფრთხოების ერთ-ერთ მთავარ საფრთხედ რჩება.
მე ვარ ტექნოლოგიების ენთუზიასტი, რომელმაც თავისი „გიკის“ ინტერესები პროფესიად აქცია. ჩემი ცხოვრების 10 წელზე მეტი გავატარე უახლესი ტექნოლოგიის გამოყენებით და ყველა სახის პროგრამაში სუფთა ცნობისმოყვარეობის გამო. ახლა სპეციალიზირებული ვარ კომპიუტერულ ტექნოლოგიებსა და ვიდეო თამაშებში. ეს იმიტომ ხდება, რომ 5 წელზე მეტია ვწერ ტექნოლოგიებისა და ვიდეო თამაშების სხვადასხვა ვებსაიტებზე, ვქმნი სტატიებს, რომლებიც ცდილობენ მოგაწოდოთ თქვენთვის საჭირო ინფორმაცია ყველასთვის გასაგებ ენაზე.
თუ თქვენ გაქვთ რაიმე შეკითხვები, ჩემი ცოდნა მერყეობს Windows ოპერაციულ სისტემასთან და ასევე Android-თან დაკავშირებულ ყველაფერზე მობილური ტელეფონებისთვის. და ჩემი ვალდებულება არის თქვენ მიმართ, მე ყოველთვის მზად ვარ გავატარო რამდენიმე წუთი და დაგეხმაროთ გადაჭრას ნებისმიერი შეკითხვა, რომელიც შეიძლება გქონდეთ ამ ინტერნეტ სამყაროში.