昨日是六月的“补丁星期二”,微软为此发布了针对66个安全漏洞的修复程序。根据微软公告,其中一处Windows漏洞已被黑客利用发起攻击,另有多个Windows和Office漏洞被标记为“高危级”。
以下将详细介绍这些已修复的安全漏洞。下个补丁星期二将于2025年7月8日发布。
Windows安全漏洞
本次44个漏洞涉及微软仍在维护的各版本Windows系统(10及以上版本及服务器版)。需注意Windows 7/8.1已停止安全更新,建议符合条件的用户尽快升级至Windows 11 24H2版本(Windows 10将于10月终止支持,不建议继续使用)。
已遭利用的Windows漏洞
微软确认编号CVE-2025-33053的漏洞正在被恶意利用,该漏洞影响WebDAV和Internet Explorer组件。由于MSHTML平台仍被部分旧版应用程序调用,所有Windows版本均受影响——用户仅需点击特制链接就会触发恶意代码执行。微软已为Windows Server 2008及以上版本提供修复补丁。
公开披露的权限提升漏洞
编号CVE-2025-33073的SMB客户端漏洞已公开披露。微软特别致谢多家网络安全公司的专家提前报告该漏洞。当用户连接恶意SMB服务器时,攻击者可借此获取系统级权限。
高危级Windows漏洞
Kerberos KDC代理服务(KPSSVC)中的远程代码执行漏洞(CVE-2025-33071),但域控制器不受影响
Windows Schannel组件漏洞(CVE-2025-29828),攻击者可通过发送碎片化TLS握手请求实施攻击
远程桌面服务漏洞(CVE-2025-32710)已于五月秘密修复,本次更新文档说明
Netlogon协议漏洞(CVE-2025-33070)可能使攻击者获取域管理员权限
云端生产力工具Power Automate(原Microsoft Flow)漏洞(CVE-2025-47966)已由微软紧急修复
Office安全漏洞
微软本次修复了Office系列产品的18个漏洞,其中17个属远程代码执行类型。五个“高危级”漏洞中包含一个SharePoint专属漏洞,其余均被评估为“高风险级”。
值得注意的是,其中四个高危漏洞的攻击载体竟是预览窗口——恶意文件无需用户点击打开,仅通过预览显示即可触发攻击。
浏览器安全更新
基于Chromium 137的Edge浏览器最新版本为6月6日发布的137.0.3296.68。而谷歌已于6月10日推出Chrome 137.0.7151.103/104版本,修复了多个高风险漏洞。
