Оновлення безпеки Microsoft за червень 2025 року: виправлено 66 вразливостей та дві нульові вразливості

Минулого вівторка, 10 червня 2025 року, Microsoft випустила свій звичайний щомісячний патч безпеки.відомий як патч вівторок, виправивши загалом 66 вразливостей. Серед них два нульові дні виділяються як особливо актуальні.Одна з них вже активно використовувалася, а інша була раніше публічно розкрита. Ці оновлення впливають на різні версії Windows та пакет програм Microsoft Office, а також на інші продукти та послуги компанії.

La Загальна кількість вразливостей охоплює різні категорії, від проблем ескалації привілеїв до віддаленого виконання коду, проблем розкриття інформації та проблем відмови в обслуговуванні. Згідно з офіційною розбивкою, було виправлено наступне: 13 вразливостей, що призводять до невикористання прав доступу, 25 вразливостей, що призводять до віддаленого виконання коду, та 17 порушень безпеки інформації.серед інших.

Нульові дні: що було виправлено цього місяця

Одна з найважливіших виправлених помилок — CVE-2025-33053., яка впливає на систему розподіленого веб-авторинга та керування версіями (WebDAV) у Windows. Цю вразливість виявила компанія Check Point Research після невдалої кібератаки на оборонну компанію в Туреччині. Експлойт дозволив зловмисникам виконувати шкідливий код на вразливих комп'ютерах просто змушуючи жертву натискати на спеціально створену URL-адресу WebDAV, використовуючи легітимні інструменти Windows для обходу обмежень. Згідно з офіційною інформацією, Microsoft випустила патч після того, як отримала повідомлення від дослідників..

Другий нульовий день, CVE-2025-33073, впливає на клієнт Windows SMB та дозволяє ескалацію привілеїв на системному рівні Якщо користувача обманом змусять підключитися до шкідливого сервера. Ця проблема була публічно розкрита до випуску офіційного патча, хоча її можна було б усунути, увімкнувши підпис SMB через групову політику. Microsoft приписала виявлення цієї вразливості міжнародній команді експертів з кібербезпеки.

Виправлено критичні вразливості та інші помилки

Окрім нульових днів, Оновлення від червня 2025 року виправило десять критичних вразливостей, зосереджуючись головним чином на наступних продуктах:

• Microsoft Офіс (включно з Excel, Outlook, Word та PowerPoint): Кілька недоліків віддаленого виконання коду, які можна було використати за допомогою області попереднього перегляду для виконання шкідливого коду в системі.
• Сервер Microsoft SharePoint: помилки, які дозволяли здійснювати автентифіковані віддалені атаки.
• Windows SchannelПроблема витоку пам'яті, пов'язана з криптографічною безпекою.
• Шлюз віддаленого робочого стола: дозволено несанкціонований доступ з мережі.
• Windows Netlogon та служба проксі-проксі KDC: недоліки, які, хоча й вимагали складних атак, сприяли підвищенню привілеїв.
• Microsoft PowerAutomate: помилка з оцінкою CVSS 9.8, яка вважається високоризиковою та була виправлена ​​раніше цього місяця.

Інші покращення торкнулися інсталятора Windows, протоколу DHCP, системних драйверів та керування сховищем.Повний список патчів доступний на офіційному сайті Microsoft для тих, кому потрібен детальний технічний аналіз кожного випадку.

Оновлення безпеки від сторонніх розробників

Adobe, Cisco, Fortinet, Google, HPE, Ivanti, Qualcomm, Roundcube та SAP також опублікували нещодавно критичні виправлення для своїх продуктів, реагуючи на подібні або потенційно небезпечні вияви безпеки. Основні моменти включають Оновлення Adobe для своїх програм Acrobat, InDesign та Experience Manager, а також виправлення Google для Android та Chrome, які приховують кілька активно використовуваних вразливостей.

Технологічна екосистема продовжує постійно демонструвати активність оновлення безпеки, оскільки дослідники та компанії виявляють нові недоліки та загрози розвиваються. Рекомендація Йдеться завжди про те, щоб підтримувати системи в актуальному стані і негайно наклейте пластирі щоб уникнути непотрібних ризиків.

Розподіл виправлених вразливостей

Деякі з найважливіших вразливостей, включених до щомісячного оновлення:

• CVE-2025-47162, CVE-2025-47164, CVE-2025-47167 та CVE-2025-47953 (Офіс): Можливі атаки через панель попереднього перегляду та локальний доступ.
• CVE-2025-47172 (SharePoint): Віддалене виконання коду автентифікованими користувачами.
• CVE-2025-29828 (Schannel): Витік пам'яті в криптографічних сервісах.
• CVE-2025-32710 (Шлюз віддаленого робочого столу): Несанкціонований віддалений доступ.
• CVE-2025-33070 та CVE-2025-47966Підвищення прав у Netlogon та Power Automate.

Патчі також виправляють десятки критичних помилок, що охоплюють численні служби та компоненти операційної системи, програми Office та адміністративні утиліти. Microsoft виділяє… важливість перегляду технічних нотаток пов’язано з кожним оновленням, особливо для тих, хто керує складними системами, оскільки деякі зміни можуть вимагати певних дій або додаткових перевірок залежно від конфігурації корпоративного середовища.

Ці оновлення за червень 2025 року відображають Зусилля Microsoft щодо зупинки складних атак та забезпечення цілісності своїх систем, в контексті, коли використання вразливостей залишається однією з основних загроз комп'ютерній безпеці.

Пов'язана стаття:

Microsoft посилює безпеку Windows за допомогою постквантового шифрування

Альберто Наварро

Я ентузіаст технологій, який перетворив свої "гікові" інтереси на професію. Я провів понад 10 років свого життя, користуючись передовими технологіями та возячись із усіма видами програм із чистої цікавості. Зараз я спеціалізуюся на комп’ютерних технологіях та відеоіграх. Це тому, що більше 5 років я писав для різних веб-сайтів про технології та відеоігри, створюючи статті, які прагнуть надати вам необхідну інформацію мовою, зрозумілою для всіх.

Якщо у вас є запитання, я знаю все, що стосується операційної системи Windows, а також Android для мобільних телефонів. І я зобов’язаний перед вами, я завжди готовий витратити кілька хвилин і допомогти вам вирішити будь-які запитання, які можуть виникнути в цьому світі Інтернету.