2025年6月补丁星期二：微软修复67个漏洞，包含2个零日漏洞

2025年6月补丁星期二

微软在2025年6月的补丁星期二共修复了67个漏洞。其中仅有一个漏洞存在在野利用证据（已列入CISA KEV目录），另有一个漏洞存在公开披露记录。值得关注的是，微软已连续九个月未出现被评级为"严重"的零日漏洞。本次更新包含8个关键级远程代码执行(RCE)漏洞，另有2个浏览器漏洞已在本月早些时候单独发布。

Windows WebDAV：零日RCE漏洞

CVE-2025-33053是Windows WebDAV实现中首个被记录的零日漏洞。WebDAV标准诞生于1990年代，Exchange 2010及更早版本曾使用该协议与邮箱和公共文件夹交互。虽然微软自2023年11月已将Windows WebDAV实现标记为弃用（WebClient服务默认不再启动），但攻击复杂度被评估为"低"——用户只需点击恶意链接即可触发漏洞。所有Windows版本均获得补丁，包括Server 2025和Windows 11 24H2等新版本（仍可通过安装WebDAV重定向器功能激活服务）。Check Point研究团队将该漏洞利用归因于长期针对中东政府的APT组织"Stealth Falcon"。

SMB客户端：零日权限提升漏洞

公开披露的CVE-2025-33073允许攻击者获取SYSTEM权限。最简攻击路径只需用户连接至攻击者控制的恶意SMB服务器。微软公告中存在表述矛盾：一则FAQ称"连接即可触发"，另一则称"需成功认证"。目前安全起见应假设攻击条件易达成。

Windows KDC代理服务：关键RCE漏洞

CVE-2025-33071影响配置为Kerberos密钥分发中心代理协议服务器的Windows Server（非常规域控制器配置）。该漏洞利用加密协议弱点实现未认证RCE，需攻击者赢得竞态条件。由于KDC代理通常暴露于非信任网络（用于中转Kerberos请求），微软评估其利用可能性较高，建议受影响用户优先修补。

Office预览窗格：三个关键RCE漏洞

CVE-2025-47162、CVE-2025-47164和CVE-2025-47167均由知名研究员0x140ce发现（MSRC 2025 Q1排行榜首位），均以预览窗格为攻击向量。需注意Microsoft 365 Apps for Enterprise版本补丁暂未发布。

生命周期更新

2025年6月微软产品生命周期变动较少。重要变更将于7月到来：SQL Server 2012扩展安全更新(ESU)计划和Visual Studio 2022 17.8 LTSC支持将终止。

漏洞摘要表

（此处保留原文中的CVSS评分表格结构，完整翻译每个漏洞条目。例如：）