微软 2025 年 66 月安全更新：已解决 XNUMX 个漏洞和 XNUMX 个零日漏洞

10 年 2025 月 XNUMX 日星期二，微软发布了其每月的安全补丁被称为 补丁星期二，共修复漏洞66个。 其中，两个零日漏洞尤为突出。其中一个漏洞已被积极利用，另一个漏洞此前已被公开披露。这些更新影响了多个版本的 Windows 系统、Microsoft Office 应用程序套件以及该公司的其他产品和服务。

La 漏洞总数涵盖不同类别漏洞涉及权限提升、远程代码执行、信息泄露以及拒绝服务等诸多问题。根据官方说明，已修复以下问题： 13 个特权提升漏洞、25 个远程代码执行漏洞和 17 个信息泄露，除其他。

零日漏洞：本月修复了哪些问题

已解决的最重要漏洞之一是 CVE-2025-33053，该漏洞会影响 Windows 中的 Web 分布式创作和版本控制 (WebDAV) 系统。Check Point Research 在土耳其一家国防公司遭遇网络攻击失败后发现了此漏洞。该漏洞允许攻击者 在易受攻击的计算机上执行恶意代码 只需让受害者点击特制的 WebDAV URL，即可使用合法的 Windows 工具绕过限制。根据官方信息， 微软在接到研究人员的通知后发布了补丁.

第二个零日漏洞 CVE-2025-33073，影响 Windows SMB 客户端和 允许在系统级别提升权限 如果用户被诱骗连接到恶意服务器。此问题在官方补丁发布之前就已公开披露，但可以通过组策略启用 SMB 签名来缓解。微软已将此漏洞的发现归功于一个国际网络安全专家团队。

修复了严重漏洞和其他错误

除了零日漏洞之外， 2025 年 XNUMX 月更新已修复十个严重漏洞，主要集中于以下产品：

• 微软的Office （包括 Excel、Outlook、Word 和 PowerPoint）：存在多个远程代码执行漏洞，可以利用预览窗格在系统上执行恶意代码。
• 微软 SharePoint 服务器：允许经过身份验证的远程攻击的错误。
• Windows 频道：与加密安全相关的内存泄漏问题。
• 远程桌面网关：允许来自网络的未经授权的访问。
• Windows 网络登录 和 KDC 代理服务：这些缺陷虽然需要复杂的攻击，但却有助于提升权限。
• 微软电源自动化：该漏洞的 CVSS 评分为 9.8，被认为具有高风险，并于本月修复。

其他改进影响了 Windows Installer、DHCP 协议、系统驱动程序和存储管理对于那些需要对每个案例进行详细技术分析的人来说，微软官方网站上提供了完整的补丁列表。

第三方安全更新

Adobe、Cisco、Fortinet、Google、HPE、Ivanti、Qualcomm、Roundcube 和 SAP 也发布了 最近对其产品进行了关键补丁，应对类似或可能被利用的安全发现。重点包括 Adobe 针对 Acrobat、InDesign 和 Experience Manager 应用程序进行了更新，Google 则针对 Android 和 Chrome 进行了修复，掩盖了几个被积极利用的漏洞。

随着研究人员和企业发现新的漏洞和威胁不断演变，技术生态系统持续不断地更新安全补丁。建议 始终保持系统最新 并立即应用补丁 以避免不必要的风险。

已解决漏洞的细目

每月更新中包含的一些最相关的漏洞包括：

• CVE-2025-47162、CVE-2025-47164、CVE-2025-47167 和 CVE-2025-47953 （办公室）：可能通过预览窗格和本地访问进行攻击。
• CVE-2025-47172 (SharePoint)：经过身份验证的用户执行远程代码。
• CVE-2025-29828 （Schannel）：加密服务中存在内存泄漏。
• CVE-2025-32710 （远程桌面网关）：未经授权的远程访问。
• CVE-2025-33070和CVE-2025-47966：Netlogon 和 Power Automate 中的权限提升。

这些补丁还修复了数十个严重漏洞，涉及多个操作系统服务和组件、Office 应用程序和管理实用程序。微软强调 审查技术说明的重要性 与每次更新相关联，特别是对于那些管理复杂系统的人来说，因为某些更改可能需要特定的操作或额外的验证，具体取决于公司环境的配置。

这些 2025 年 XNUMX 月的更新反映了 微软为阻止复杂攻击并确保系统完整性所做的努力在漏洞利用仍然是主要计算机安全威胁之一的背景下。