- Firma Microsoft udostępniła poprawki dla 66 luk w zabezpieczeniach (stan na czerwiec 2025 r.), w tym dwóch luk typu zero-day: jednej aktywnie wykorzystywanej i jednej ujawnionej publicznie.
- Naprawiono dziesięć krytycznych luk w zabezpieczeniach, z których większość dotyczyła zdalnego wykonywania kodu i podwyższania uprawnień.
- Najpoważniejszy atak typu zero-day (CVE-2025-33053) dotyczy protokołu WebDAV i był wykorzystywany w ukierunkowanych atakach; wymaga interakcji użytkownika.
- Inni producenci, tacy jak Adobe i Google, również wydali w tym miesiącu odpowiednie aktualizacje zabezpieczeń.
W ostatni wtorek, 10 czerwca 2025 r., firma Microsoft wydała swoją zwykłą miesięczną poprawkę zabezpieczeń, znany jako Patch wtorek, korygując łącznie 66 luk. Wśród nich dwa typy zero-day wyróżniają się jako szczególnie istotne.Jeden z nich był już aktywnie wykorzystywany, a inny został wcześniej ujawniony publicznie. Te aktualizacje dotyczą różnych wersji systemu Windows i pakietu aplikacji Microsoft Office, a także innych produktów i usług firmy.
La Całkowita liczba luk obejmuje różne kategorie, od problemów z eskalacją uprawnień po zdalne wykonywanie kodu, problemy z ujawnianiem informacji i problemy z odmową usługi. Według oficjalnego podziału, naprawiono następujące problemy: 13 luk umożliwiających podniesienie uprawnień, 25 luk umożliwiających zdalne wykonanie kodu i 17 naruszeń informacjimiędzy innymi.
Zero-days: co zostało naprawione w tym miesiącu
Jednym z najważniejszych rozwiązanych błędów jest CVE-2025-33053, która dotyczy systemu Web Distributed Authoring and Versioning (WebDAV) w systemie Windows. Ta luka została wykryta przez Check Point Research po nieudanym cyberataku na firmę obronną w Turcji. Wykorzystanie tej luki pozwoliło atakującym wykonać złośliwy kod na podatnych na ataki komputerach po prostu przez kliknięcie przez ofiarę specjalnie spreparowanego adresu URL WebDAV, używając legalnych narzędzi Windows do ominięcia ograniczeń. Według oficjalnych informacji, Firma Microsoft wydała poprawkę po otrzymaniu informacji od badaczy.
Drugi dzień zerowy, CVE-2025-33073, dotyczy klienta SMB systemu Windows i umożliwia eskalację uprawnień na poziomie systemu Jeśli użytkownik zostanie oszukany i połączy się ze złośliwym serwerem. Ten problem został ujawniony publicznie przed udostępnieniem oficjalnej poprawki, chociaż można go złagodzić, włączając podpisywanie SMB za pośrednictwem zasad grupy. Microsoft przypisał odkrycie tej luki międzynarodowemu zespołowi ekspertów ds. cyberbezpieczeństwa.
Naprawiono krytyczne luki i inne błędy
Oprócz dni zerowych, Aktualizacja z czerwca 2025 r. rozwiązała dziesięć krytycznych luk w zabezpieczeniach, koncentrując się głównie na następujących produktach:
- Microsoft Office (w tym Excel, Outlook, Word i PowerPoint): Kilka luk umożliwiających zdalne wykonanie kodu, które można wykorzystać za pomocą panelu podglądu do uruchomienia złośliwego kodu w systemie.
- Serwer Microsoft SharePoint:błędy umożliwiające uwierzytelnione ataki zdalne.
- Kanał S systemu Windows: Problem wycieku pamięci związany z bezpieczeństwem kryptograficznym.
- Brama zdalnego pulpitu: umożliwiono nieautoryzowany dostęp z sieci.
- Logowanie do sieci w systemie Windows i usługa proxy KDC: wady, które, choć wymagały złożonych ataków, ułatwiały eskalację uprawnień.
- Microsoft Power Automatyzuje:błąd z oceną CVSS wynoszącą 9.8, uważany za błąd wysokiego ryzyka i naprawiony w tym miesiącu.
Inne ulepszenia dotyczyły Instalatora Windows, protokołu DHCP, sterowników systemowych i zarządzania pamięcią masowąPełna lista poprawek jest dostępna na oficjalnej stronie firmy Microsoft dla tych, którzy potrzebują szczegółowej analizy technicznej każdego przypadku.
Aktualizacje zabezpieczeń stron trzecich
Opublikowano również wpisy firm Adobe, Cisco, Fortinet, Google, HPE, Ivanti, Qualcomm, Roundcube i SAP niedawno krytyczne poprawki dla swoich produktów, odpowiadając na podobne lub potencjalnie podatne na eksploatację odkrycia bezpieczeństwa. Najważniejsze informacje obejmują Aktualizacje firmy Adobe dla aplikacji Acrobat, InDesign i Experience Manager oraz poprawki Google dla systemów Android i Chrome, które kryją w sobie kilka aktywnie wykorzystywanych luk.
Ekosystem technologiczny nadal obserwuje stałą aktywność poprawek bezpieczeństwa, ponieważ badacze i firmy odkrywają nowe wady i zagrożenia. Zalecenie Zawsze chodzi o to, aby systemy były aktualne i natychmiast zastosuj poprawki aby uniknąć niepotrzebnego ryzyka.
Podział rozwiązanych luk
Oto niektóre z najistotniejszych luk w zabezpieczeniach opisanych w miesięcznej aktualizacji:
- CVE-2025-47162, CVE-2025-47164, CVE-2025-47167 i CVE-2025-47953 (Biuro): Możliwe ataki poprzez panel podglądu i dostęp lokalny.
- CVE-2025-47172 (SharePoint): Zdalne wykonywanie kodu przez uwierzytelnionych użytkowników.
- CVE-2025-29828 (Schannel): Wyciek pamięci w usługach kryptograficznych.
- CVE-2025-32710 (Brama pulpitu zdalnego): Nieautoryzowany dostęp zdalny.
- CVE-2025-33070 i CVE-2025-47966:Podniesienie uprawnień w Netlogon i Power Automate.
Poprawki usuwają również dziesiątki krytycznych błędów, obejmujących wiele usług i komponentów systemu operacyjnego, aplikacji Office i narzędzi administracyjnych. Microsoft podkreśla znaczenie przeglądania notatek technicznych związane z każdą aktualizacją, zwłaszcza w przypadku zarządzania złożonymi systemami, gdyż niektóre zmiany mogą wymagać określonych działań lub dodatkowych weryfikacji w zależności od konfiguracji środowiska korporacyjnego.
Niniejsze aktualizacje z czerwca 2025 r. odzwierciedlają Wysiłki firmy Microsoft mające na celu powstrzymanie wyrafinowanych ataków i zapewnienie integralności jej systemów, w kontekście, w którym wykorzystywanie luk w zabezpieczeniach pozostaje jednym z głównych zagrożeń bezpieczeństwa komputerowego.
Jestem entuzjastą technologii, który swoje „geekowskie” zainteresowania przekształcił w zawód. Spędziłem ponad 10 lat mojego życia, korzystając z najnowocześniejszych technologii i majsterkując przy wszelkiego rodzaju programach z czystej ciekawości. Teraz specjalizuję się w technologii komputerowej i grach wideo. Dzieje się tak dlatego, że od ponad 5 lat piszę dla różnych serwisów poświęconych technologii i grom wideo, tworząc artykuły, których celem jest dostarczenie potrzebnych informacji w języku zrozumiałym dla każdego.
Jeśli masz jakieś pytania, moja wiedza obejmuje wszystko, co jest związane z systemem operacyjnym Windows, a także Androidem dla telefonów komórkowych. Moje zaangażowanie jest wobec Ciebie. Zawsze jestem gotowy poświęcić kilka minut i pomóc Ci rozwiązać wszelkie pytania, jakie możesz mieć w tym internetowym świecie.