微软周二补丁大揭秘：66 个漏洞暗藏危机，10 个“严重”级

周二，微软再次出手，发布了一轮新的安全补丁，此次共修复了多达 66 个错误，其中 10 个被评定为“严重”级别，这一消息无疑在网络安全界激起了层层涟漪。

微软，这家全球知名的跨国科技巨头，以其丰富多样的软件产品闻名于世，其每一次的安全动作都备受瞩目。此次发布的补丁，就像是为管理员们送上的一份“暑假安全大礼包”，在这个看似平静的夏日，却暗藏着网络安全威胁的暗流涌动。

每月定期发布的安全更新，六月版如期而至。在这份更新中，微软将 10 个缺陷列为“严重”等级，其中有两个漏洞尤为引人关注，它们要么是早已声名远扬，要么正处于被恶意利用的状态。

管理员们需要高度警惕 CVE - 2025 - 33053 和 CVE - 2025 - 33073 这两个漏洞。CVE - 2025 - 33053 目前正被不法分子积极利用，犹如一颗隐藏在暗处的定时炸弹，随时可能引发严重的安全危机。而 CVE - 2025 - 33073 虽然在野外尚未有确认的攻击案例，但相关的漏洞利用代码已经公开发布，这意味着它随时可能成为攻击者的目标。这两个漏洞的 CVSS 得分均为 8.8，被微软归类为“重要”威胁，其潜在的危险性不容小觑。

深入剖析 CVE - 2025 - 33053，它是 Windows 的 Web 分布式创作和版本控制（WEBDAV）组件中的一个远程代码执行（RCE）漏洞。想象一下，具有本地网络访问权限的攻击者，就像一个狡猾的间谍，能够巧妙地诱使用户执行代码。他们利用 WEBDAV 中的文件路径处理错误，如同找到了一把打开系统大门的钥匙，从而实现对系统的远程接管。然而，微软对此次攻击的具体情况却讳莫如深，既没有透露已确认的攻击数量，也没有说明这种攻击已经持续了多久，这无疑给管理员们的工作增添了一层神秘的面纱。

与此同时，CVE - 2025 - 33073 这个漏洞是由不正确的访问控制错误导致的 Windows SMB 客户端中的特权提升条件。趋势科技零时差倡议的研究负责人 Dustin Childs 为我们揭示了一种可能的利用场景：攻击者可能会诱骗目标与恶意服务器建立连接。一旦连接成功，就如同打开了潘多拉的盒子，恶意服务器可能会在系统级别执行代码，通过诱使用户连接到攻击者控制的恶意应用程序服务器来触发攻击。Childs 进一步解释道：“这里最明显的选择是中小型企业服务器。一旦连接，恶意服务器可能会危害受影响的系统并提升权限，给企业带来巨大的损失。”

除了这两个备受关注的漏洞，还有 10 个严重级别的漏洞等待着管理员们去修复。其中，有 4 个存在于 Office 软件中，分别是 CVE - 2025 - 47162、CVE - 2025 - 47164、CVE - 2025 - 47167 和 CVE - 2025 - 47953。这些漏洞可能通过缓冲区溢出错误，为攻击者提供远程代码执行的机会，就像给黑客打开了一扇通往系统内部的秘密通道。

其他严重缺陷也不容忽视，如 Sharepoint Server 中的 RCE 错误（CVE - 2025 - 47172）和 Windows 远程桌面（CVE - 2025 - 32710）。此外，Windows Netlogon 中存在的一个特权提升缺陷（CVE - 2025 - 33070）被视为严重风险，还有 Power Automate（CVE - 2025 - 47966）也存在安全隐患。

在剩余的 54 个补丁中，52 个是针对微软认为是“重要”级别问题的漏洞。另外两个分别针对“高”和“中”级别的问题。虽然这些漏洞可能没有获得最高级别的严重性评级或 CVSS 分数，但管理员们绝不能掉以轻心。因为它们往往会与其他漏洞相互关联，形成一个高严重性的攻击链，就像一张无形的大网，随时可能将系统拖入危险的深渊。

安全服务提供商 Nightwing 的网络事件响应经理尼克·卡罗尔指出：“Windows 通用日志文件系统有几个漏洞（CVE - 2025 - 32701 和 CVE - 2025 - 32706），它们是 Priv Esc（特权提升）漏洞。这些都不是关键问题，这意味着一些组织可能不会优先修补它们。