Классификация уязвимостей по типу:
- 13 уязвимостей повышения привилегий
- 3 уязвимости обхода функций безопасности
- 25 уязвимостей удаленного выполнения кода
- 17 уязвимостей раскрытия информации
- 6 уязвимостей отказа в обслуживании
- 2 уязвимости спуфинга
В это число не входит уязвимости Mariner, Microsoft Edge и Power Automate, исправленные в начале июня.
Обновления безопасности Windows, июнь 2025
Для установки доступны следующие обновления:
Windows
| ОС Windows | Сборка | Версия | Канал | Обновление | ISO-образы | Доступно |
|---|---|---|---|---|---|---|
| Windows 11 | 26100.4351 | 24H2 | Stable | KB5063060 | ISO (UUP) | 2025-06-11 |
| Windows 11 | 26100.4349 | 24H2 | Stable | KB5060842 | ISO (UUP) | 2025-06-10 |
| Windows 11 | 22631.5472 | 23H2 | Stable | KB5060999 | ISO (UUP) | 2025-06-10 |
| Windows 10 | 19045.5965 | 22H2 | Stable | KB5060533 | ISO (UUP) | 2025-06-10 |
Windows LTSC
- Обновление KB5060842 (Build 26100.4349) для Windows 11 LTSC 2024
- Обновление KB5058379 (Build 19044.5965) для Windows 10 LTSC 2021
- Обновление KB5060531 (Build 17763.7434) для Windows 10 LTSC 2019
Windows Server
- Обновление KB5060842 (OS Build 26100.4349) для Windows Server 2025
- Обновление KB5060842 (OS Build 26100.4349) для Windows Server, версия 24H2
- Обновление KB5060118 (OS Build 25398.1665) для Windows Server, версия 23H2
- Обновление KB5060526 (OS Build 20348.3807) для Windows Server 2022
- Обновление KB5060531 (OS Build 17763.7434) для Windows Server 2019
- Обновление KB5061010 (OS Build 14393.8148) для Windows Server 2016
Две исправленные уязвимости «нулевого дня»
В этот «Вторник Патчей» в общей сложности исправлено две уязвимости «нулевого дня» — одна активно эксплуатируемая и еще одна публично раскрытая.
Microsoft классифицирует уязвимость как уязвимость нулевого дня, если она публично раскрыта или активно эксплуатируется без официального исправления.
Активно эксплуатируемая уязвимость:
- CVE-2025-33053— уязвимость удаленного выполнения кода в WEBDAV
Активно эксплуатируемая уязвимость связана с технологией Web Distributed Authoring and Versioning (WEBDAV) и была обнаружена исследователями из Check Point.
Check Point сообщает:
Удаленное выполнение кода возможно через специально созданный URL WebDAV. Успешная атака позволяет злоумышленнику выполнить произвольный код в целевой системе.
Microsoft добавляет, что для эксплуатации уязвимости пользователь должен перейти по вредоносной ссылке WebDAV. Дополнительные детали о реальных атаках пока не раскрываются.
Публично раскрытая уязвимость:
- CVE-2025-33073 — уязвимость повышения привилегий в SMB-клиенте Windows
Публично раскрытая уязвимость в SMB (протокол общего доступа к файлам), позволяющая атакующим получить системные (SYSTEM) привилегии.
Microsoft информирует:
Из-за неправильного контроля доступа в Windows SMB, злоумышленник может повысить привилегии через сеть.
Для эксплуатации уязвимости злоумышленник запускает вредоносный скрипт, который заставляет устройство жертвы подключиться к атакующему серверу через SMB и пройти аутентификацию, что ведет к повышению привилегий.
Уязвимость можно временно смягчить, включив принудительную подпись SMB на стороне сервера через групповую политику.
Обновления от других компаний
- Компания Adobe выпустила исправления для InCopy, Experience Manager, Commerce, InDesign, Substance 3D Sampler, Acrobat Reader и Substance 3D Painter.
- Компания Cisco выпустила патчи для трех уязвимостей с доступным эксплойтом в продуктах Identity Services Engine (ISE) и Customer Collaboration Platform (CCP).
- Компания Fortinet выпустила обновления для уязвимости OS Command Injection в FortiManager, FortiAnalyzer и FortiAnalyzer-BigData.
- Google выпустил обновления безопасности Android с устранением активно эксплуатируемой уязвимости в Google Chrome.
- Hewlett Packard Enterprise (HPE) исправила восемь уязвимостей в системе StoreOnce.
- Компания Ivanti исправила три критические уязвимости, связанные с жёстко заданными ключами в Workspace Control (IWC).
- Компания Qualcomm устранила три уязвимости «нулевого дня» в драйвере GPU Adreno, которые использовались в целевых атаках.
- Roundcube выпустил патчи для критической уязвимости удаленного выполнения кода с публичным эксплойтом.
- Компания SAP устранила уязвимости в различных продуктах, включая критическую проблему с отсутствием проверки полномочий в SAP NetWeaver Application Server for ABAP
Последние статьи #Microsoft
• В Microsoft Edge появился ИИ-поиск по истории браузера
• Microsoft Edge получил функцию безопасного распространения паролей для корпоративных пользователей
• Microsoft отказалась от своей портативной консоли Xbox ради развития ПО для гейминга на Windows
• Обновление KB5060826 (Build 22631.5545) Preview для Windows 11, версия 23H2
• Обновление KB5061087 (Build 19045.6029) Preview для Windows 10, версия 22H2
• Microsoft выпустила отдельное обновление безопасности для Windows 11, версия 24H2 на несовместимых устройствах