- По состоянию на июнь 66 года Microsoft выпустила исправления для 2025 уязвимостей, включая две уязвимости нулевого дня: одна активно эксплуатировалась, а другая была публично раскрыта.
- Устранено десять критических уязвимостей, большинство из которых связаны с удаленным выполнением кода и повышением привилегий.
- Самая серьезная уязвимость нулевого дня (CVE-2025-33053) затрагивает WebDAV и использовалась в целевых атаках; для ее реализации требуется взаимодействие с пользователем.
- Другие производители, такие как Adobe и Google, также выпустили соответствующие обновления безопасности в этом месяце.
В прошлый вторник, 10 июня 2025 года, Microsoft выпустила свой обычный ежемесячный патч безопасностиизвестный как Патч вторник, исправив в общей сложности 66 уязвимостей. Среди них особенно актуальными являются две уязвимости нулевого дня.Одна из них уже активно эксплуатировалась, а другая была ранее публично раскрыта. Эти обновления затрагивают различные версии Windows и пакета приложений Microsoft Office, а также другие продукты и услуги компании.
La Общее количество уязвимостей охватывает разные категории, от проблем с повышением привилегий до удаленного выполнения кода, проблем с раскрытием информации и проблем с отказом в обслуживании. Согласно официальной разбивке, было исправлено следующее: 13 уязвимостей повышения привилегий, 25 уязвимостей удаленного выполнения кода и 17 утечек информации, Среди других.
Уязвимости нулевого дня: что было исправлено в этом месяце
Одной из наиболее существенных исправленных ошибок является CVE-2025-33053., которая влияет на систему Web Distributed Authoring and Versioning (WebDAV) в Windows. Эта уязвимость была обнаружена Check Point Research после неудачной кибератаки на оборонную компанию в Турции. Эксплойт позволил злоумышленникам выполнить вредоносный код на уязвимых компьютерах просто заставив жертву нажать на специально созданный URL WebDAV, используя легитимные инструменты Windows для обхода ограничений. Согласно официальной информации, Microsoft выпустила исправление после того, как получила информацию от исследователей.
Второй нулевой день, CVE-2025-33073, влияет на клиент Windows SMB и позволяет повышать привилегии на системном уровне Если пользователя обманом заставляют подключиться к вредоносному серверу. Эта проблема была публично раскрыта до выхода официального исправления, хотя ее можно было бы смягчить, включив подписание SMB через групповую политику. Microsoft приписала обнаружение этой уязвимости международной команде экспертов по кибербезопасности.
Исправлены критические уязвимости и другие ошибки
В дополнение к нулевому дню, Обновление за июнь 2025 года устранило десять критических уязвимостей, уделяя основное внимание следующим продуктам:
- Microsoft Office (включая Excel, Outlook, Word и PowerPoint): несколько уязвимостей удаленного выполнения кода, которые можно использовать с помощью панели предварительного просмотра для выполнения вредоносного кода в системе.
- Microsoft SharePoint сервер: ошибки, которые позволяли проводить аутентифицированные удаленные атаки.
- Windows Schannel: Проблема утечки памяти, связанная с криптографической безопасностью.
- Шлюз удаленных рабочих столов: разрешен несанкционированный доступ из сети.
- Вход в сеть Windows и KDC Proxy Service: недостатки, которые, хотя и требовали сложных атак, способствовали повышению привилегий.
- Microsoft Power Автоматизация: ошибка с оценкой CVSS 9.8, считающаяся высокорисковой и ранее исправленная в этом месяце.
Другие улучшения коснулись установщика Windows, протокола DHCP, системных драйверов и управления хранилищем.Полный список исправлений доступен на официальном сайте Microsoft для тех, кому необходим подробный технический анализ каждого случая.
Обновления безопасности сторонних производителей
Adobe, Cisco, Fortinet, Google, HPE, Ivanti, Qualcomm, Roundcube и SAP также опубликовали недавно критические исправления для своих продуктов, реагируя на аналогичные или потенциально эксплуатируемые открытия безопасности. Основные моменты включают Обновления Adobe для приложений Acrobat, InDesign и Experience Manager, а также исправления Google для Android и Chrome, которые скрывают несколько активно эксплуатируемых уязвимостей.
Технологическая экосистема продолжает наблюдать постоянную активность по исправлению ошибок безопасности, поскольку исследователи и компании обнаруживают новые уязвимости, а угрозы развиваются. Рекомендация Всегда важно поддерживать системы в актуальном состоянии. и немедленно наклейте патчи чтобы избежать ненужных рисков.
Распределение устраненных уязвимостей
Вот некоторые из наиболее значимых уязвимостей, включенных в ежемесячное обновление:
- CVE-2025-47162, CVE-2025-47164, CVE-2025-47167 и CVE-2025-47953 (Офис): Возможны атаки через панель предварительного просмотра и локальный доступ.
- CVE-2025-47172 (SharePoint): Удаленное выполнение кода аутентифицированными пользователями.
- CVE-2025-29828 (Schannel): Утечка памяти в криптографических сервисах.
- CVE-2025-32710 (Шлюз удаленного рабочего стола): Несанкционированный удаленный доступ.
- CVE-2025-33070 и CVE-2025-47966: Повышение привилегий в Netlogon и Power Automate.
Исправления также устраняют десятки критических ошибок, охватывающих множество служб и компонентов операционной системы, приложений Office и административных утилит. Microsoft подчеркивает важность рассмотрения технических заметок связанные с каждым обновлением, особенно для тех, кто управляет сложными системами, поскольку некоторые изменения могут потребовать определенных действий или дополнительных проверок в зависимости от конфигурации корпоративной среды.
Эти обновления за июнь 2025 года отражают Усилия Microsoft по предотвращению сложных атак и обеспечению целостности своих систем, в условиях, когда эксплуатация уязвимостей остается одной из основных угроз компьютерной безопасности.
Я энтузиаст технологий, который превратил свои «компьютерные» интересы в профессию. Я провел более 10 лет своей жизни, используя передовые технологии и возясь со всевозможными программами из чистого любопытства. Сейчас я специализируюсь на компьютерных технологиях и видеоиграх. Это потому, что более 5 лет я пишу статьи для различных сайтов, посвященных технологиям и видеоиграм, создавая статьи, которые стремятся дать вам необходимую информацию на понятном каждому языке.
Если у вас есть какие-либо вопросы, мои знания варьируются от всего, что связано с операционной системой Windows, а также Android для мобильных телефонов. И я предан вам, я всегда готов потратить несколько минут и помочь вам решить любые вопросы, которые могут у вас возникнуть в этом мире Интернета.