Microsoftova varnostna posodobitev za junij 2025: odpravljenih 66 ranljivosti in dve ničelni ranljivosti

Prejšnji torek, 10. junija 2025, je Microsoft izdal svoj običajni mesečni varnostni popravek., znan kot Popravek v torek, s čimer je bilo odpravljenih skupno 66 ranljivosti. Med njimi izstopata dva ničelna dneva kot še posebej pomembna.Ena od njih je bila že aktivno izkoriščana, druga pa je bila že prej javno razkrita. Te posodobitve vplivajo na različne različice sistema Windows in paketa aplikacij Microsoft Office ter druge izdelke in storitve podjetja.

La Skupno število ranljivosti zajema različne kategorije, od težav z naraščanjem privilegijev do oddaljenega izvajanja kode, težav z razkritjem informacij in težav z zavrnitvijo storitve. Glede na uradno razčlenitev so bile odpravljene naslednje težave: 13 ranljivosti za povečanje privilegijev, 25 ranljivosti za oddaljeno izvajanje kode in 17 kršitev varnosti informacijmed drugim.

Ničelni dnevi: kaj je bilo popravljeno ta mesec

Ena najpomembnejših odpravljenih napak je CVE-2025-33053., ki vpliva na sistem WebDAV (Web Distributed Authoring and Versioning) v sistemu Windows. To ranljivost je odkrilo podjetje Check Point Research po neuspelem kibernetskem napadu na obrambno podjetje v Turčiji. Izkoriščanje je napadalcem omogočilo, da izvajati zlonamerno kodo na ranljivih računalnikih preprosto tako, da žrtev klikne na posebej oblikovan URL WebDAV in pri tem uporabi legitimna orodja sistema Windows za obhod omejitev. Po uradnih informacijah, Microsoft je izdal popravek, potem ko so ga o tem obvestili raziskovalci..

Drugi ničelni dan, CVE-2025-33073, vpliva na odjemalca Windows SMB in omogoča stopnjevanje privilegijev na sistemski ravni Če je uporabnik prevaran, da se poveže z zlonamernim strežnikom. Ta težava je bila javno razkrita, še preden je bil na voljo uradni popravek, čeprav bi jo bilo mogoče ublažiti z omogočanjem podpisovanja SMB prek skupinskega pravilnika. Microsoft je odkritje te ranljivosti pripisal mednarodni ekipi strokovnjakov za kibernetsko varnost.

Odpravljene kritične ranljivosti in druge napake

Poleg ničelnih dni, Posodobitev iz junija 2025 je odpravila deset kritičnih ranljivosti., s poudarkom predvsem na naslednjih izdelkih:

• Microsoft Office (vključno z Excelom, Outlookom, Wordom in PowerPointom): Več napak pri oddaljenem izvajanju kode, ki bi jih bilo mogoče izkoristiti s pomočjo podokna za predogled za izvajanje zlonamerne kode v sistemu.
• Microsoft SharePoint Server: hrošči, ki so omogočali overjene oddaljene napade.
• Windows SchannelTežava s puščanjem pomnilnika, povezana s kriptografsko varnostjo.
• Prehod za oddaljeno namizje: dovoljen nepooblaščen dostop iz omrežja.
• Prijava v omrežje Windows in storitev KDC Proxy: pomanjkljivosti, ki so sicer zahtevale kompleksne napade, a so omogočale stopnjevanje privilegijev.
• Microsoft Power Automate: hrošč z oceno CVSS 9.8, ki velja za visoko tvegano in je bil ta mesec že odpravljen.

Druge izboljšave so vplivale na namestitveni program Windows, protokol DHCP, sistemske gonilnike in upravljanje shrambe.Celoten seznam popravkov je na voljo na uradni Microsoftovi spletni strani za tiste, ki potrebujejo podrobno tehnično analizo vsakega primera.

Varnostne posodobitve drugih ponudnikov

Objavili so tudi Adobe, Cisco, Fortinet, Google, HPE, Ivanti, Qualcomm, Roundcube in SAP. nedavno kritične popravke za svoje izdelke, ki se odziva na podobna ali potencialno izkoriščevalna varnostna odkritja. Med poudarki so Adobe posodablja aplikacije Acrobat, InDesign in Experience Manager ter Google popravke za Android in Chrome, ki prikrivajo več aktivno izkoriščenih ranljivosti.

Tehnološki ekosistem se še naprej sooča s stalnim nastajanjem varnostnih popravkov, saj raziskovalci in podjetja odkrivajo nove pomanjkljivosti in se razvijajo grožnje. Priporočilo Vedno gre za posodabljanje sistemov in takoj namestite obliže da se izognemo nepotrebnim tveganjem.

Razčlenitev odpravljenih ranljivosti

Nekatere najpomembnejše ranljivosti, vključene v mesečno posodobitev, so:

• CVE-2025-47162, CVE-2025-47164, CVE-2025-47167 in CVE-2025-47953 (Pisarna): Možni napadi prek podokna za predogled in lokalnega dostopa.
• CVE-2025-47172 (SharePoint): Oddaljeno izvajanje kode s strani overjenih uporabnikov.
• CVE-2025-29828 (Schannel): Puščanje pomnilnika v kriptografskih storitvah.
• CVE-2025-32710 (Prehod oddaljenega namizja): Nepooblaščen oddaljeni dostop.
• CVE-2025-33070 in CVE-2025-47966Zvišanje pravic v storitvah Netlogon in Power Automate.

Popravki odpravljajo tudi na ducate kritičnih napak, ki zajemajo več storitev in komponent operacijskega sistema, aplikacije Office in skrbniške pripomočke. Microsoft poudarja, da pomen pregleda tehničnih opomb povezane z vsako posodobitvijo, zlasti za tiste, ki upravljajo kompleksne sisteme, saj lahko nekatere spremembe zahtevajo posebna dejanja ali dodatna preverjanja, odvisno od konfiguracije poslovnega okolja.

Te posodobitve iz junija 2025 odražajo Microsoftova prizadevanja za zaustavitev sofisticiranih napadov in zagotovitev integritete svojih sistemov, v kontekstu, kjer izkoriščanje ranljivosti ostaja ena glavnih groženj računalniški varnosti.

Povezani članek:

Microsoft krepi varnost sistema Windows s postkvantnim šifriranjem

Alberto Navarro

Sem tehnološki navdušenec, ki je svoja "geek" zanimanja spremenil v poklic. Več kot 10 let svojega življenja sem porabil za uporabo vrhunske tehnologije in premleval najrazličnejše programe iz čiste radovednosti. Zdaj sem se specializiral za računalniško tehnologijo in video igre. To je zato, ker že več kot 5 let pišem za različna spletna mesta o tehnologiji in video igrah ter ustvarjam članke, ki vam želijo dati informacije, ki jih potrebujete, v jeziku, ki je razumljiv vsem.

Če imate kakršna koli vprašanja, moje znanje sega od vsega v zvezi z operacijskim sistemom Windows kot tudi Androidom za mobilne telefone. In moja zaveza je vam, vedno sem pripravljen porabiti nekaj minut in vam pomagati razrešiti kakršna koli vprašanja, ki jih morda imate v tem internetnem svetu.