Microsoft 最新的補丁星期二更新于 6 月 10 日下午茶時間如期發布，管理員們面臨的工作負荷比最近輕松了不少，進入夏季的工作量相對較輕——至少比近期要輕松——僅有不到 70 個安全漏洞需要關注，其中只有兩個潛在的零日通用漏洞和暴露 (CVE) 在范圍內。

本月最緊急的兩個修補問題是 CVE-2025-33053，這是 Web Distributed Authoring and Versioning (WEBDAV) 中的遠程代碼執行 (RCE) 漏洞，以及 CVE-2025-33073，這是 Windows Server Message Block (SMB) 客戶端中的權限提升 (EoP) 漏洞。兩者的 CVSS 評分都是 8.8。

Microsoft 透露，有證據表明第一個 CVE 已經在野外被利用，盡管概念驗證代碼尚未公開，而第二個則相反。它將 RCE 漏洞歸功于 Check Point Research 的 Alexandra Gofman 和 David Driker，而第二個則歸功于 CrowdStrike、Synacktiv、SySS GmbH 和 Google Project Zero 的研究人員。

在這兩個漏洞中，CVE-2025-33053 可能是最緊急的修補需求。這是因為在實踐中，該問題影響了各種工具，這些工具仍然以傳統方式集成了已停用的 Internet Explorer 瀏覽器，因此 Microsoft 被迫為早已停止支持的平臺制作補丁，最遠可追溯到 Windows 8 和 Server 2012。

補丁管理專家 Action1 的總裁兼聯合創始人 Mike Walters 解釋說："這個漏洞允許攻擊者在用戶點擊惡意 URL 時在受影響的系統上執行遠程代碼。"

"該漏洞利用 WebDAV 的文件處理功能在當前用戶的上下文中運行任意代碼。如果用戶擁有管理員權限，影響可能很嚴重。"

Walters 說："這個漏洞特別令人擔憂的是 WebDAV 在企業環境中用于遠程文件共享和協作的廣泛使用。許多組織為合法的業務需求啟用 WebDAV——往往沒有充分了解它帶來的安全風險。"

他補充說："潛在影響是廣泛的，全球數百萬組織面臨風險。估計 70% 到 80% 的企業可能面臨威脅——特別是那些缺乏嚴格 URL 過濾或用戶釣魚威脅培訓的企業。"

與此同時，Immersive 的網絡威脅情報研究員 Ben Hopkins 對第二個潛在零日漏洞 CVE-2023-33073 進行了分析。

Hopkins 解釋說："它被歸類為權限提升漏洞，這表明成功的漏洞利用將允許攻擊者在受感染的系統上獲得更高級別的權限。"

"威脅行為者高度尋求這種性質的漏洞。一旦攻擊者通過釣魚或利用其他漏洞等方法在機器上獲得初始立足點，他們就可以利用權限升級漏洞來獲得更深層次的控制。"

他繼續說："有了提升的權限，攻擊者可能會禁用安全工具、訪問和竊取敏感數據、安裝持久惡意軟件，或在網絡中橫向移動以感染其他系統。"

"考慮到高嚴重性評級和 SMB 在 Windows 網絡中的關鍵作用，組織應該優先應用必要的安全補丁來減輕此漏洞帶來的風險。"

**墻上掛著 10 個關鍵漏洞**

Microsoft 6 月補丁星期二更新還包括不少于 10 個關鍵漏洞——其中四個影響 Microsoft Office，另外分別有一個在 Microsoft SharePoint Server、Power Automate、Windows KDC Proxy Service (KPSSVC)、Windows Netlogon、Windows Remote Desktop Services 和 Windows Schannel 中。其中，八個——包括所有四個 Office 漏洞——都是 RCE 問題，另外兩個支持權限升級。

Immersive 威脅研究高級總監 Kev Breen 表示，防護人員應該將 Office 漏洞列為高優先級。

Breen 說："被列為 use after free、基于堆的緩沖區溢出和類型混淆 RCE，這些漏洞將允許攻擊者制作惡意文檔，如果發送并被受害者打開，將使攻擊者能夠遠程在受害者的計算機上運行命令。"

"Microsoft 還表示'預覽窗格'是一個攻擊向量，這意味著僅僅在 Outlook 等程序中查看附件就足以觸發漏洞利用。"

Breen 說："更令人擔憂的是，Microsoft 表示在發布時 Microsoft 365 沒有可用的更新，客戶將通過此通知的修訂版本得到通知。"

他補充說："雖然這個 CVE 目前沒有被積極利用，但風險仍然很高，因為已知威脅行為者會快速逆向工程補丁來創建 n-day 漏洞利用，在組織有機會推出補丁之前。"