- Līdz 66. gada jūnijam Microsoft ir izlaidis ielāpus 2025 ievainojamībām, tostarp divām nulles dienas ievainojamībām: viena tiek aktīvi izmantota un viena tiek publiski atklāta.
- Ir novērstas desmit kritiskas ievainojamības, no kurām lielākā daļa ir saistītas ar attālinātu koda izpildi un privilēģiju paaugstināšanu.
- Visnopietnākais nulles dienas apdraudējums (CVE-2025-33053) ietekmē WebDAV un tika izmantots mērķtiecīgos uzbrukumos; tam nepieciešama lietotāja iejaukšanās.
- Arī citi ražotāji, piemēram, Adobe un Google, šomēnes ir izlaiduši atbilstošus drošības atjauninājumus.
Pagājušajā otrdienā, 10. gada 2025. jūnijā, Microsoft izlaida savu ierasto ikmēneša drošības ielāpuPazīstams kā patch otrdiena, kopumā novēršot 66 ievainojamības. Starp tiem kā īpaši nozīmīgi izceļas divi nulles dienas gadījumi.Viens no tiem jau tika aktīvi izmantots, bet cits jau iepriekš bija publiski atklāts. Šie atjauninājumi ietekmē dažādas Windows versijas un Microsoft Office lietojumprogrammu komplektu, kā arī citus uzņēmuma produktus un pakalpojumus.
La kopējais ievainojamību skaits aptver dažādas kategorijas, sākot ar privilēģiju eskalācijas problēmām un beidzot ar attālinātu koda izpildi, informācijas izpaušanas problēmām un pakalpojuma atteikuma problēmām. Saskaņā ar oficiālo sadalījumu ir novērstas šādas problēmas: 13 privilēģiju paplašināšanas ievainojamības, 25 attālinātas koda izpildes ievainojamības un 17 informācijas noplūdes, Starp citiem.
Nulles dienas: kas ir labots šomēnes
Viena no būtiskākajām novērstajām kļūdām ir CVE-2025-33053., kas ietekmē tīmekļa izplatītās autorēšanas un versiju veidošanas (WebDAV) sistēmu operētājsistēmā Windows. Šo ievainojamību atklāja Check Point Research pēc neveiksmīga kiberuzbrukuma aizsardzības uzņēmumam Turcijā. Šī ievainojamības izmantošana ļāva uzbrucējiem izpildīt ļaunprātīgu kodu neaizsargātos datoros vienkārši liekot upurim noklikšķināt uz speciāli izveidota WebDAV URL, izmantojot likumīgus Windows rīkus, lai apietu ierobežojumus. Saskaņā ar oficiālo informāciju, Microsoft izlaida ielāpu pēc tam, kad to informēja pētnieki..
Otrā nulles diena, CVE-2025-33073, ietekmē Windows SMB klientu un ļauj privilēģiju eskalāciju sistēmas līmenī Ja lietotājs tiek apmānīts, lai izveidotu savienojumu ar ļaunprātīgu serveri. Šī problēma tika publiski atklāta pirms oficiāla ielāpa pieejamības, lai gan to varētu mazināt, iespējojot SMB parakstīšanu, izmantojot grupas politiku. Microsoft šīs ievainojamības atklāšanu piedēvē starptautiskai kiberdrošības ekspertu komandai.
Izlabotas kritiskas ievainojamības un citas kļūdas
Papildus nulles dienām, 2025. gada jūnija atjauninājumā ir novērstas desmit kritiskas ievainojamības, galvenokārt koncentrējoties uz šādiem produktiem:
- Microsoft Office (tostarp Excel, Outlook, Word un PowerPoint): vairākas attālās koda izpildes kļūdas, kuras varētu izmantot, izmantojot priekšskatījuma rūti, lai sistēmā izpildītu ļaunprātīgu kodu.
- Microsoft SharePoint Server: kļūdas, kas ļāva veikt autentificētus attālinātus uzbrukumus.
- Windows SchanalAtmiņas noplūdes problēma, kas saistīta ar kriptogrāfisko drošību.
- Attālās darbvirsmas vārteja: atļāva nesankcionētu piekļuvi no tīkla.
- Windows tīkla pieteikšanās un KDC starpniekservera pakalpojums: trūkumi, kas, lai gan prasīja sarežģītus uzbrukumus, veicināja privilēģiju eskalāciju.
- Microsoft Power AutomateKļūda ar CVSS vērtējumu 9.8, kas tiek uzskatīta par augsta riska kļūdu un iepriekš tika izlabota šomēnes.
Citi uzlabojumi ir ietekmējuši Windows Installer, DHCP protokolu, sistēmas draiverus un krātuves pārvaldību.Pilns ielāpu saraksts ir pieejams oficiālajā Microsoft vietnē tiem, kam nepieciešama detalizēta katra gadījuma tehniskā analīze.
Trešo pušu drošības atjauninājumi
Adobe, Cisco, Fortinet, Google, HPE, Ivanti, Qualcomm, Roundcube un SAP arī ir publicējuši nesen kritiski ielāpi tās produktiem, reaģējot uz līdzīgiem vai potenciāli izmantojamiem drošības atklājumiem. Svarīgākie aspekti ietver Adobe atjauninājumi Acrobat, InDesign un Experience Manager lietojumprogrammām, kā arī Google labojumi operētājsistēmām Android un Chrome, kas slēpj vairākas aktīvi izmantotas ievainojamības.
Tehnoloģiju ekosistēmā joprojām notiek pastāvīgas drošības ielāpu aktivitātes, jo pētnieki un uzņēmumi atklāj jaunus trūkumus un attīstās jauni draudi. Vienmēr ir svarīgi uzturēt sistēmas atjauninātas un nekavējoties uzklājiet plāksterus lai izvairītos no nevajadzīgiem riskiem.
Novērsto ievainojamību sadalījums
Dažas no svarīgākajām ievainojamībām, kas iekļautas ikmēneša atjauninājumā, ir šādas:
- CVE-2025-47162, CVE-2025-47164, CVE-2025-47167 un CVE-2025-47953 (Birojs): Iespējami uzbrukumi, izmantojot priekšskatījuma rūti un lokālo piekļuvi.
- CVE-2025-47172 (SharePoint): Autentificētu lietotāju attālināta koda izpilde.
- CVE-2025-29828 (Schannel): Atmiņas noplūde kriptogrāfiskajos pakalpojumos.
- CVE-2025-32710 (Attālās darbvirsmas vārteja): Neautorizēta attālā piekļuve.
- CVE-2025-33070 un CVE-2025-47966Privilēģiju paaugstināšana pakalpojumā Netlogon un Power Automate.
Ielāpi novērš arī desmitiem kritisku kļūdu, kas aptver vairākus operētājsistēmas pakalpojumus un komponentus, Office lietojumprogrammas un administratīvās utilītas. Microsoft izceļ tehnisko piezīmju pārskatīšanas nozīme saistībā ar katru atjauninājumu, īpaši tiem, kas pārvalda sarežģītas sistēmas, jo dažām izmaiņām var būt nepieciešamas īpašas darbības vai papildu pārbaudes atkarībā no korporatīvās vides konfigurācijas.
Šie 2025. gada jūnija atjauninājumi atspoguļo Microsoft centieni apturēt sarežģītus uzbrukumus un nodrošināt savu sistēmu integritāti, apstākļos, kad ievainojamību izmantošana joprojām ir viens no galvenajiem datoru drošības apdraudējumiem.
Esmu tehnoloģiju entuziasts, kurš savas "geek" intereses ir pārvērtis profesijā. Es esmu pavadījis vairāk nekā 10 gadus no savas dzīves, izmantojot jaunākās tehnoloģijas un tīri ziņkārības vadīts ar visu veidu programmām. Tagad esmu specializējies datortehnoloģijās un videospēlēs. Tas ir tāpēc, ka vairāk nekā 5 gadus esmu rakstījis dažādām tīmekļa vietnēm par tehnoloģijām un videospēlēm, veidojot rakstus, kuru mērķis ir sniegt jums nepieciešamo informāciju ikvienam saprotamā valodā.
Ja jums ir kādi jautājumi, manas zināšanas svārstās no visa, kas saistīts ar Windows operētājsistēmu, kā arī Android mobilajiem tālruņiem. Un mana apņemšanās ir jums, es vienmēr esmu gatavs veltīt dažas minūtes un palīdzēt jums atrisināt visus jautājumus, kas jums varētu rasties šajā interneta pasaulē.