微软 2025 年 6 月补丁日多产品安全漏洞预警
1、基本情况
近日,监测发现微软发布了 2025 年 6 月安全更新,涉及以下应用 Windows、Azure、Microsoft Office、Microsoft VisualStudio、Microsoft 365 Apps、Windows 通用日志文件系统驱动程序、Microsoft .NET Framework、CBL Mariner、Power Automatefor Desktop、Remote Desktop client for Windows Desktop、Nuance Digital Engagement Platform、Microsoft Edge 等。
本次更新共修复了 66 个漏洞,漏洞类型包括安全功能绕过漏洞、远程代码执行漏洞、信息泄露漏洞、拒绝服务漏洞等。
对此,建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。
2、漏洞详情
CVE-2025-33053:Web 分布式创作和版本控制 (WEBDAV) 远程代码执行漏洞
该漏洞是由于 WebDav 链接中文件路径处理不当造成的。远程攻击者可以诱骗受害者点击特制链接,并在系统上执行任意代码。
CVE-2025-47167:Microsoft Office 远程代码执行漏洞
该漏洞是由于 Microsoft Office 中的类型混淆错误而导致的。远程攻击者可以向应用程序传递特制数据,触发类型混淆错误,并在
目标系统上执行任意代码。成功利用此漏洞可能导致系统完全被攻陷。
CVE-2025-47164:Microsoft Office 远程代码执行漏洞
该漏洞是由于 Microsoft Office 中的释放后使用错误造成的。远程攻击者利用此漏洞可以在目标系统上执行任意代码。
CVE-2025-33070:Windows Netlogon 权限提升漏洞
该漏洞是由于 Windows Netlogon 中使用了未初始化的资源而导致的。远程攻击者可以将特制数据传递给该应用程序,触发未初始化的资源使用,并获得域管理员权限。
CVE-2025-33071:Windows KDC 代理服务 (KPSSVC) 远程代码执行漏洞
Windows KDC 代理服务 (KPSSVC) 中存在释放后使用错误,远程攻击者可利用这一竞争条件,实现在目标系统上执行任意代码的目的,进而入侵易受攻击的系统。
CVE-2025-47162:Microsoft Office 远程代码执行漏洞
Office 中存在边界错误,攻击者向应用程序传递特制数据,会触发基于堆的缓冲区溢出,成功利用此漏洞可能导致系统完全被攻陷。
CVE-2025-47172:Microsoft SharePoint Server 远程代码执行漏洞
Microsoft SharePoint Server 对用户提供的数据清理不足,攻击者向受影响的应用程序发送特制请求后,可读取、删除和修改数据库中的数据,完全控制受影响的应用程序。
CVE-2025-47953:Microsoft Office 远程代码执行漏洞
Microsoft Office 对文件和其他资源的名称限制不当,这一漏洞使得远程攻击者能够在目标系统上执行任意代码。
CVE-2025-32710:Windows 远程桌面服务远程代码执行漏洞
Windows 远程桌面服务中存在释放后使用错误,攻击者利用竞争条件,可以在目标系统上执行任意代码。
CVE-2025-29828:Windows Schannel 远程代码执行漏洞
Windows Schannel 中存在内存泄漏问题,远程攻击者可借此漏洞迫使应用程序泄漏内存,并在目标系统上执行任意代码。
CVE-2025-32713:Windows 通用日志文件系统驱动程序权限提升漏洞
Windows 通用日志文件系统驱动程序中存在边界错误,本地用户将特制数据传递给应用程序后,会触发基于堆的缓冲区溢出,进而提升目标系统的权限。
CVE-2025-47962:Windows SDK 权限提升漏洞
Windows SDK 中存在访问限制不当的问题,使得本地用户能够绕过已实施的安全限制,未经授权访问原本受限制的功能,并在系统上获得提升的权限。
CVE-2025-32714:Windows Installer 权限提升漏洞
Windows Installer 中存在访问限制不当的情况,这允许本地用户绕过已实施的安全限制,未经授权访问原本受限制的功能,从而在系统上获得提升的权限。
3、影响范围
Windows、Azure、Microsoft Office、Microsoft VisualStudio、Microsoft 365 Apps、Windows 通用日志文件系统驱动程序、Microsoft .NET Framework、CBL Mariner、Power Automatefor Desktop、Remote Desktop client for Windows Desktop、Nuance Digital Engagement Platform、Microsoft Edge 等
4、处置建议
升级版本
目前微软已发布相关安全更新,建议受影响的用户尽快修复。
(一) Windows Update 自动更新
Microsoft Update 默认启用,当系统检测到可用更新时,将会自动下载更新并在下一次启动时安装。也可选择通过以下步骤手动进行更新:
1、点击“开始菜单”或按 Windows 快捷键,点击进入“设置”
2、选择“更新和安全”,进入“Windows 更新”(Windows 8、Windows 8.1、Windows Server 2012 以及 Windows Server 2012 R2可通过控制面板进入“Windows 更新”,具体步骤为“控制面板”->“系统和安全”->“Windows 更新”)
3、选择“检查更新”,等待系统自动检查并下载可用更新。
4、更新完成后重启计算机,可通过进入“Windows 更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的 SSU 名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。
(二) 手动安装更新
Microsoft 官方下载相应补丁进行更新。
2025 年 6 月安全更新下载链接:
https://msrc.microsoft.com/update-guide/releaseNote/2025-Jun
5、参考链接
1) https://msrc.microsoft.com/update-guide/releaseNote/2025-Jun