2025年6月补丁星期二：微软修复67个漏洞，包含1个零日漏洞和SMB高危漏洞

微软今日发布安全更新，修复了Windows操作系统及软件中至少67个漏洞。雷德蒙德公司警告称其中一个漏洞已被活跃利用，且本月修复的某个普遍性Windows漏洞的利用蓝图已公开。

本月唯一的零日漏洞是CVE-2025-33053，这是Windows WebDAV实现中的远程代码执行漏洞。WebDAV作为HTTP扩展协议，允许用户远程管理服务器上的文件和目录。Automox高级安全工程师Seth Hoyt指出，虽然WebDAV在Windows中默认不启用，但在遗留系统或专用系统中仍可能成为攻击目标。

Rapid7首席软件工程师Adam Barnett表示，微软的漏洞公告未提及Windows WebDAV实现自2023年11月起已被标记为弃用状态，这意味着WebClient服务默认不再启动。"该漏洞的攻击复杂度被评估为低，表明攻击者无需准备目标环境即可利用，仅需用户点击恶意链接。值得注意的是，包括Server 2025和Windows 11 24H2在内的所有Windows版本都获得了补丁。"

微软警告称，Windows服务器消息块(SMB)客户端中的特权提升漏洞(CVE-2025-33073)很可能被利用，因为该漏洞的概念验证代码已公开。该漏洞CVSS评分为8.8分（满分10分），成功利用可使攻击者获得对受害主机的"SYSTEM"级控制权。Action1联合创始人兼CEO Alex Vovk表示："最危险的是初始连接后无需进一步用户交互——攻击者通常能在用户无感知的情况下触发。考虑到高权限级别和易利用性，该漏洞对Windows环境构成重大风险。"

除上述重点漏洞外，本月修复的漏洞中有10个被微软评为"严重"级别，包括8个远程代码执行漏洞。值得注意的是，本月补丁未包含针对Windows Server 2025中"BadSuccessor"漏洞的修复，该漏洞允许攻击者以Active Directory中任意用户权限执行操作。

Adobe发布了Acrobat Reader等7款产品的更新，修复至少259个漏洞，其中大部分在Experience Manager更新中解决。Mozilla Firefox和Google Chrome近期也发布了需要浏览器重启的安全更新，其中Chrome修复了两个零日漏洞(CVE-2025-5419和CVE-2025-4664)。

如需微软今日发布的安全更新详细分析，可参阅SANS互联网风暴中心的补丁星期二汇总。Action1提供了微软及其他软件供应商本月发布的补丁分析报告。建议用户在安装补丁前备份系统和数据。