- Spoločnosť Microsoft k júnu 66 vydala záplaty pre 2025 zraniteľností vrátane dvoch zraniteľností typu zero-day: jednu aktívne zneužívanú a jednu verejne zverejnenú.
- Bolo opravených desať kritických zraniteľností, z ktorých väčšina súvisí so vzdialeným spustením kódu a zvýšením privilégií.
- Najzávažnejší zero-day útok (CVE-2025-33053) postihuje WebDAV a bol použitý pri cielených útokoch; vyžaduje si interakciu používateľa.
- Ďalší výrobcovia, ako napríklad Adobe a Google, tento mesiac tiež vydali relevantné bezpečnostné aktualizácie.
Minulý utorok, 10. júna 2025, spoločnosť Microsoft vydala svoju obvyklú mesačnú bezpečnostnú záplatu., známy ako Utorok s opravou, čím sa opravilo celkovo 66 zraniteľností. Medzi nimi vynikajú dva zero-day ako obzvlášť relevantné.Jeden z nich už bol aktívne zneužívaný a ďalší bol predtým verejne zverejnený. Tieto aktualizácie ovplyvňujú rôzne verzie systému Windows a balíka aplikácií Microsoft Office, ako aj ďalšie produkty a služby spoločnosti.
La Celkový počet zraniteľností pokrýva rôzne kategórie, od problémov s eskaláciou privilégií až po vzdialené spúšťanie kódu, problémy so zverejňovaním informácií a problémy s odmietnutím služby. Podľa oficiálneho rozpisu boli opravené nasledujúce problémy: 13 zraniteľností umožňujúcich zvýšenie privilégií, 25 zraniteľností umožňujúcich vzdialené spustenie kódu a 17 narušení bezpečnosti informáciíokrem iného.
Zero-days: čo bolo tento mesiac opravené
Jednou z najvýznamnejších vyriešených chýb je CVE-2025-33053., ktorá ovplyvňuje systém WebDAV (Web Distributed Authoring and Versioning) v systéme Windows. Túto zraniteľnosť zistila spoločnosť Check Point Research po neúspešnom kybernetickom útoku na spoločnosť zaoberajúcu sa obranou v Turecku. Zraniteľnosť umožnila útočníkom spúšťať škodlivý kód na zraniteľných počítačoch jednoducho tak, že obeť klikne na špeciálne vytvorenú URL adresu WebDAV a pomocou legitímnych nástrojov systému Windows obíde obmedzenia. Podľa oficiálnych informácií Spoločnosť Microsoft vydala záplatu po tom, čo ju o tom informovali výskumníci..
Druhý nultý deň, CVE-2025-33073ovplyvňuje klienta SMB systému Windows a umožňuje eskaláciu privilégií na systémovej úrovni Ak je používateľ oklamaný a pripája sa k škodlivému serveru. Tento problém bol verejne odhalený ešte predtým, ako bola k dispozícii oficiálna oprava, hoci by sa dal zmierniť povolením podpisovania SMB prostredníctvom skupinovej politiky. Spoločnosť Microsoft pripísala objavenie tejto zraniteľnosti medzinárodnému tímu expertov na kybernetickú bezpečnosť.
Opravené kritické zraniteľnosti a ďalšie chyby
Okrem nulových dní, Aktualizácia z júna 2025 riešila desať kritických zraniteľností, so zameraním najmä na nasledujúce produkty:
- Microsoft Office (vrátane Excelu, Outlooku, Wordu a PowerPointu): Niekoľko chýb pri vzdialenom spúšťaní kódu, ktoré by sa dali zneužiť pomocou panela s ukážkou na spustenie škodlivého kódu v systéme.
- Microsoft SharePoint Server: chyby, ktoré umožňovali overené vzdialené útoky.
- Schánál systému WindowsProblém s únikom pamäte súvisiaci s kryptografickým zabezpečením.
- Brána vzdialenej pracovnej plochy: povolený neoprávnený prístup zo siete.
- Prihlásenie do siete Windows a KDC Proxy Service: chyby, ktoré síce vyžadovali zložité útoky, ale uľahčovali eskaláciu privilégií.
- Microsoft Power Automate: chyba so skóre CVSS 9.8, považovaná za vysoko rizikovú a už bola opravená tento mesiac.
Ďalšie vylepšenia ovplyvnili Inštalátor systému Windows, protokol DHCP, systémové ovládače a správu úložiska.Kompletný zoznam záplat je k dispozícii na oficiálnej webovej stránke spoločnosti Microsoft pre tých, ktorí potrebujú podrobnú technickú analýzu každého prípadu.
Aktualizácie zabezpečenia od tretích strán
Spoločnosť Adobe, Cisco, Fortinet, Google, HPE, Ivanti, Qualcomm, Roundcube a SAP tiež publikovali nedávno kritické záplaty pre svoje produkty, reagujúc na podobné alebo potenciálne zneužiteľné bezpečnostné objavy. Medzi hlavné body patria Aktualizácie od spoločnosti Adobe pre aplikácie Acrobat, InDesign a Experience Manager a opravy od spoločnosti Google pre Android a Chrome, ktoré zakrývajú niekoľko aktívne zneužívaných zraniteľností.
Technologický ekosystém naďalej zaznamenáva neustálu aktivitu bezpečnostných záplat, keďže výskumníci a spoločnosti objavujú nové chyby a vyvíjajú sa hrozby. Odporúčanie Vždy ide o udržiavanie systémov aktuálnych a ihneď si nalepte náplasti aby sa predišlo zbytočným rizikám.
Rozpis vyriešených zraniteľností
Medzi najrelevantnejšie zraniteľnosti zahrnuté v mesačnej aktualizácii patria:
- CVE-2025-47162, CVE-2025-47164, CVE-2025-47167 a CVE-2025-47953 (Office): Možné útoky prostredníctvom panela s ukážkou a lokálneho prístupu.
- CVE-2025-47172 (SharePoint): Vzdialené spustenie kódu overenými používateľmi.
- CVE-2025-29828 (Schannel): Únik pamäte v kryptografických službách.
- CVE-2025-32710 (Brána vzdialenej pracovnej plochy): Neoprávnený vzdialený prístup.
- CVE-2025-33070 a CVE-2025-47966Zvýšenie privilégií v Netlogon a Power Automate.
Záplaty tiež riešia desiatky kritických chýb, ktoré sa týkajú viacerých služieb a komponentov operačného systému, aplikácií balíka Office a administratívnych nástrojov. Spoločnosť Microsoft zdôrazňuje... dôležitosť preštudovania technických poznámok spojené s každou aktualizáciou, najmä pre tých, ktorí spravujú zložité systémy, pretože niektoré zmeny môžu vyžadovať špecifické akcie alebo dodatočné overenia v závislosti od konfigurácie podnikového prostredia.
Tieto aktualizácie z júna 2025 odrážajú Snaha spoločnosti Microsoft zastaviť sofistikované útoky a zabezpečiť integritu svojich systémov, v kontexte, kde zneužívanie zraniteľností zostáva jednou z hlavných hrozieb počítačovej bezpečnosti.
Som technologický nadšenec, ktorý zo svojich „geekovských“ záujmov urobil povolanie. Strávil som viac ako 10 rokov svojho života používaním špičkových technológií a hraním so všetkými druhmi programov z čistej zvedavosti. Teraz som sa špecializoval na počítačovú techniku a videohry. Je to preto, že už viac ako 5 rokov píšem pre rôzne webové stránky o technológiách a videohrách a vytváram články, ktoré sa snažia poskytnúť vám potrebné informácie v jazyku, ktorý je zrozumiteľný pre každého.
Ak máte nejaké otázky, moje znalosti siahajú od všetkého, čo súvisí s operačným systémom Windows, ako aj Androidom pre mobilné telefóny. A môj záväzok je voči vám, vždy som ochotný venovať pár minút a pomôcť vám vyriešiť akékoľvek otázky, ktoré môžete mať v tomto internetovom svete.