2025年6月星期二补丁修复了66个漏洞，包括WebDAV中的一个零日漏洞。立即更新Windows、Office等系统，拦截活跃威胁。

微软六月补丁星期二更新已发布，修复了其产品线中66个漏洞。修复的漏洞中有一个已在实际攻击中被利用，因此本月的更新对企业和个人用户都尤为重要。

此次修复的主要目标是解决Windows WebDAV组件中的一个漏洞CVE-2025-33053。如果正确利用该漏洞，攻击者可以远程执行代码。由于该漏洞在今天的补丁发布之前就已被用于攻击，因此它属于“零日漏洞”类别。

WebDAV漏洞影响Windows 10和Windows 11以及相关的服务器版本。虽然微软尚未披露攻击的全部细节，但他们已确认该漏洞已被广泛利用。

除了零日漏洞外，微软还修补了10个评级为“严重”的漏洞，这通常意味着这些漏洞允许远程执行代码或提升权限，而无需太多用户交互。其中包括Microsoft Office中的四个漏洞，这些漏洞仍然是攻击者通过电子邮件发送恶意文档的常规目标。

其他获得修复的产品包括Microsoft Edge、Power Automate、.NET以及Windows本身的组件。虽然其他问题尚未被报告为被主动利用，但有几个问题被标记为短期内更有可能成为攻击目标。

更新后的软件包现已可用，包括：
Windows 11：KB5060842（22H2和23H2）
Windows 10：KB5060533和KB5060999
Windows Server 版本：也进行了更新，具体取决于所使用的版本。

管理员应检查他们的更新管理系统以确认推出并评估最新补丁可能引起的任何兼容性问题。

CVE-2025-33053的快速利用再次表明，攻击者在新漏洞披露后行动速度之快。虽然零日漏洞经常成为头条新闻，但其他修复措施也不容忽视。本月的多个漏洞涉及经常暴露在互联网上或在企业环境中频繁使用的组件。

延迟修补的公司不仅面临数据被盗的风险，而且还要承担勒索软件恢复的成本，而勒索软件通常始于今天修补的漏洞。

从RTX剥离的情报解决方案公司Nightwing的网络事件响应经理Nick Carroll对补丁星期二活动发表了评论，他指出：“ Windows通用日志文件系统(CVE-2025-32701和CVE-2025-32706)存在几个属于特权提升(Priv Esc)漏洞的漏洞。这些漏洞并非关键漏洞，这意味着一些组织不会像他们应该的那样优先修补它们。如果你观察一下哪些漏洞往往能引起广泛关注，就会发现关键漏洞总是最受关注。” Nick指出。

但我们经常看到现实世界中的攻击滥用Windows日志文件子系统。事实上，Nightwing上个月在与最近修补的CVE-2025-29824相关的现实世界攻击中防御了Windows通用日志文件系统中的漏洞，威胁行为者在攻击中结合了Living-off-the-Land策略和漏洞利用。他补充道。

1. 尽快应用所有可用的六月更新，特别是对于使用WebDAV的系统
2. 检查你的Office文件处理策略，特别是当用户经常从组织外部接收文档时
3. 监控网络流量，查找与WebDAV或其他已修补服务相关的可疑活动迹象
4. 在公司范围内推广之前，先在临时环境中进行测试，特别是在使用较旧或定制软件堆栈的环境中

微软的完整安全公告可在其官方安全更新指南中找到。快速修补仍然是抵御多种形式网络攻击最简单、最有效的防御措施之一。