微軟 2025 年 66 月安全性更新：已解決 XNUMX 個漏洞和 XNUMX 個零日漏洞

10 年 2025 月 XNUMX 日星期二，微軟發布了每月的安全補丁被稱為 補丁星期二，共修復漏洞66個。 其中，兩個零日漏洞尤為突出。其中一個漏洞已被積極利用，另一個漏洞先前已被公開披露。這些更新影響了多個版本的 Windows 系統、Microsoft Office 應用程式套件以及該公司的其他產品和服務。

La 漏洞總數涵蓋不同類別漏洞涉及權限提升、遠端程式碼執行、資訊外洩以及拒絕服務等諸多問題。根據官方說明，已修復以下問題： 13 個特權提升漏洞、25 個遠端程式碼執行漏洞和 17 個資訊洩露，除其他。

零日漏洞：本月修復了哪些問題

已解決的最重要漏洞之一是 CVE-2025-33053，此漏洞影響 Windows 中的 Web 分散式創作和版本控制 (WebDAV) 系統。 Check Point Research 在土耳其一家國防公司遭遇網路攻擊失敗後發現了此漏洞。該漏洞允許攻擊者 在易受攻擊的電腦上執行惡意程式碼 只需讓受害者點擊特製的 WebDAV URL，即可使用合法的 Windows 工具繞過限制。根據官方信息， 微軟在接到研究人員的通知後發布了補丁.

第二個零日漏洞 CVE-2025，33073，影響 Windows SMB 用戶端和 允許在系統層級提升權限 如果使用者被誘騙連接到惡意伺服器。此問題在官方補丁發布之前就已公開披露，但可以透過群組原則啟用 SMB 簽章來緩解。微軟已將此漏洞的發現歸功於一個國際網路安全專家團隊。

修復了嚴重漏洞和其他錯誤

除了零日漏洞之外， 2025 年 XNUMX 月更新已修復十個嚴重漏洞，主要集中於以下產品：

• 微軟的Office （包括 Excel、Outlook、Word 和 PowerPoint）：存在多個遠端程式碼執行漏洞，可利用預覽窗格在系統上執行惡意程式碼。
• 微軟 SharePoint 伺服器：允許經過身份驗證的遠端攻擊的錯誤。
• Windows 頻道：與加密安全相關的記憶體洩漏問題。
• 遠程桌面網關：允許來自網路的未經授權的存取。
• Windows Netlogon 和 KDC 代理服務：這些缺陷雖然需要複雜的攻擊，但卻有助於提升權限。
• 微軟電源自動化：該漏洞的 CVSS 評分為 9.8，被認為具有高風險，並於本月修復。

其他改進影響了 Windows Installer、DHCP 協定、系統驅動程式和儲存管理對於需要對每個案例進行詳細技術分析的人來說，微軟官方網站上提供了完整的補丁清單。

第三方安全性更新

Adobe、Cisco、Fortinet、Google、HPE、Ivanti、Qualcomm、Roundcube 和 SAP 也發布了 最近對其產品進行了關鍵補丁，應對類似或可能被利用的安全發現。重點包括 Adobe 針對 Acrobat、InDesign 和 Experience Manager 應用程式進行了更新，Google 則針對 Android 和 Chrome 進行了修復，掩蓋了幾個被積極利用的漏洞。

隨著研究人員和企業發現新的漏洞和威脅不斷演變，技術生態系統持續不斷更新安全修補程式。建議 始終保持系統最新 並立即套用補丁 以避免不必要的風險。

已解決漏洞的細目

每月更新中包含的一些最相關的漏洞包括：

• CVE-2025-47162、CVE-2025-47164、CVE-2025-47167 與 CVE-2025-47953 （辦公室）：可能透過預覽窗格和本機存取進行攻擊。
• CVE-2025，47172 (SharePoint)：經過驗證的使用者執行遠端程式碼。
• CVE-2025，29828 （Schannel）：加密服務中存在記憶體洩漏。
• CVE-2025，32710 （遠端桌面網關）：未經授權的遠端存取。
• CVE-2025-33070和CVE-2025-47966：Netlogon 和 Power Automate 中的權限提升。

這些修補程式還修復了數十個嚴重漏洞，涉及多個作業系統服務和元件、Office 應用程式和管理實用程式。微軟強調 審查技術說明的重要性 與每次更新相關聯，特別是對於管理複雜系統的人來說，因為某些變更可能需要特定的操作或額外的驗證，具體取決於公司環境的配置。

這些 2025 年 XNUMX 月的更新反映了 微軟為阻止複雜攻擊並確保系統完整性所做的努力在漏洞利用仍然是主要電腦安全威脅之一的背景下。