补丁 星期二，2025 年 6 月版

快速阅读: 据《Krebs on Security （博客）》称，微软发布67个漏洞补丁，其中一已被黑客利用；Adobe修复259个漏洞；火狐和Chrome修复多处安全问题。安装前请备份系统与数据。

微软今日发布安全更新，修复其操作系统与软件中至少67个漏洞。微软总部警示称，其中一漏洞已被黑客积极利用，且本月修复的广泛存在的Windows漏洞利用方式已公开。本月唯一的零日漏洞为**CVE-2025-33053**，这是Windows中WebDAV实现（一种允许用户远程管理服务器文件与目录的HTTP扩展）中的远程代码执行漏洞。尽管WebDAV在Windows中默认未启用，但在老旧或特殊系统中依然存在，使其成为潜在目标。Automox的高级安全工程师塞斯·霍伊特指出。

Rapid7的首席软件工程师亚当·巴内特提到，微软关于**CVE-2025-33053**的建议并未提及自2023年11月以来，WebDAV的Windows实现已被列为过时，这意味着默认情况下WebClient服务不会自动启动。“该建议还指出，攻击复杂度较低，意味着利用无需超出攻击者掌控范围的方式准备目标环境，”巴内特补充道。“利用依赖于用户点击恶意链接。不清楚若服务未运行，资产如何立即受到威胁，但所有版本的Windows都收到补丁，包括自WebClient停用以来发布的版本，例如Windows Server 2025和Windows 11 24H2。”

微软警告称，**“权限提升型”漏洞（CVE-2025-33073）**可能被利用，因其概念验证代码现已公开。**CVE-2025-33073**的CVSS风险评分为8.8（满分10分），利用此漏洞可能导致攻击者获取易受攻击PC的“SYSTEM”级控制权。“尤其危险的是，在初始连接后无需进一步用户交互——攻击者通常可在用户不知情的情况下触发这一点，”Action1的联合创始人兼CEO阿列克斯·沃夫说道。“鉴于高权限级别与易于利用性，此漏洞对Windows环境构成重大风险。受影响系统的范围广泛，因为SMB是用于文件与打印机共享以及进程间通信的核心Windows协议。”

除上述亮点外，微软本月修复的10个漏洞被评为“关键”，其中包括八个远程代码执行漏洞。本月补丁中值得注意的遗漏是对新发现的Windows Server 2025漏洞的修复，该漏洞允许攻击者以Active Directory中任何用户的权限行事。该漏洞被称为“BadSuccessor”，由Akamai的研究人员于5月21日公开披露，目前已有多个公开概念验证可用。Tenable公司的Satnam Narang表示，拥有至少一台Windows Server 2025域控服务器的组织应审查主体权限并尽可能限制这些权限。

Adobe发布更新，修复Acrobat Reader及另外六个产品中的至少259个漏洞，其中大部分出现在Experience Manager更新中。火狐浏览器与谷歌浏览器近期均发布了需重新启动浏览器才能生效的安全更新。最新版本的Chrome修复了浏览器内的两个零日漏洞（**CVE-2025-5419**和**CVE-2025-4664**）。若想了解微软今日发布的具体安全更新详情，请参考SANS互联网风暴中心的“Patch Tuesday”总结。Action1详细介绍了微软及其他多家软件厂商本月发布的补丁内容。

请一如既往地在安装补丁前备份系统与数据，并在评论区留言告知您在应用这些更新时遇到的问题。

(以上内容均由Ai生成)