2025年6月补丁星期二:微软修复67个漏洞,包含2个零日漏洞
2025年6月补丁星期二
微软在2025年6月的补丁星期二共修复了67个漏洞。其中仅有一个漏洞存在在野利用证据(已列入CISA KEV目录),另有一个漏洞存在公开披露记录。值得关注的是,微软已连续九个月未出现被评级为\"严重\"的零日漏洞。本次更新包含8个关键级远程代码执行(RCE)漏洞,另有2个浏览器漏洞已在本月早些时候单独发布。
Windows WebDAV:零日RCE漏洞
CVE-2025-33053是Windows WebDAV实现中首个被记录的零日漏洞。WebDAV标准诞生于1990年代,Exchange 2010及更早版本曾使用该协议与邮箱和公共文件夹交互。虽然微软自2023年11月已将Windows WebDAV实现标记为弃用(WebClient服务默认不再启动),但攻击复杂度被评估为\"低\"——用户只需点击恶意链接即可触发漏洞。所有Windows版本均获得补丁,包括Server 2025和Windows 11 24H2等新版本(仍可通过安装WebDAV重定向器功能激活服务)。Check Point研究团队将该漏洞利用归因于长期针对中东政府的APT组织\"Stealth Falcon\"。
SMB客户端:零日权限提升漏洞
公开披露的CVE-2025-33073允许攻击者获取SYSTEM权限。最简攻击路径只需用户连接至攻击者控制的恶意SMB服务器。微软公告中存在表述矛盾:一则FAQ称\"连接即可触发\",另一则称\"需成功认证\"。目前安全起见应假设攻击条件易达成。
Windows KDC代理服务:关键RCE漏洞
CVE-2025-33071影响配置为Kerberos密钥分发中心代理协议服务器的Windows Server(非常规域控制器配置)。该漏洞利用加密协议弱点实现未认证RCE,需攻击者赢得竞态条件。由于KDC代理通常暴露于非信任网络(用于中转Kerberos请求),微软评估其利用可能性较高,建议受影响用户优先修补。
Office预览窗格:三个关键RCE漏洞
CVE-2025-47162、CVE-2025-47164和CVE-2025-47167均由知名研究员0x140ce发现(MSRC 2025 Q1排行榜首位),均以预览窗格为攻击向量。需注意Microsoft 365 Apps for Enterprise版本补丁暂未发布。
生命周期更新
2025年6月微软产品生命周期变动较少。重要变更将于7月到来:SQL Server 2012扩展安全更新(ESU)计划和Visual Studio 2022 17.8 LTSC支持将终止。
漏洞摘要表
(此处保留原文中的CVSS评分表格结构,完整翻译每个漏洞条目。例如:)
