Microsoft залатала 66 дыр, но одна из них уже впустила хакеров — угадайте, какая
NewsMakerВ Купертино обновили всё на свете — и всё равно остались уязвимы.
В июньский выпуск обновлений безопасности Microsoft, выпущенный в рамках традиционного Patch Tuesday, вошли исправления для 66 уязвимостей. Из них одна уже активно эксплуатировалась злоумышленниками, а другая была публично раскрыта до выхода официального исправления. Кроме того, десять уязвимостей были классифицированы как критические — восемь из них позволяют удалённое выполнение кода, а две связаны с повышением привилегий.
Подробное распределение уязвимостей по типам выглядит следующим образом: 13 относятся к повышению привилегий, 3 — к обходу функций безопасности, 25 — к удалённому выполнению кода, 17 — к раскрытию информации, 6 — к отказу в обслуживании, и 2 — к спуфингу. В этот перечень не входят уязвимости, устранённые ранее в этом месяце в продуктах Mariner, Microsoft Edge и Power Automate.
Одной из самых опасных проблем, исправленных в этом месяце, стала уязвимость CVE-2025-33053 в компоненте Web Distributed Authoring and Versioning (WEBDAV) Windows. Она позволяла удалённому злоумышленнику выполнить произвольный код на целевой системе, если пользователь переходил по специально созданной ссылке WebDAV.
Уязвимость была обнаружена командой Check Point Research, которая сообщила, что атака происходила через манипуляции с рабочим каталогом встроенного инструмента Windows. В марте 2025 года через эту брешь была предпринята попытка кибератаки на оборонную компанию в Турции, за которой, по данным исследователей, стояла APT -группа Stealth Falcon. Microsoft официально присвоила уязвимости идентификатор CVE-2025-33053 и включила её в список обновлений 10 июня 2025 года. Авторами обнаружения указаны Александра Гофман и Давид Дрикер из Check Point Research.
Вторая уязвимость, CVE-2025-33073 , касается клиента SMB в Windows и была публично раскрыта до выпуска обновления. Она позволяет авторизованному злоумышленнику получить права SYSTEM через сетевое взаимодействие. Проблема заключается в неправильной реализации контроля доступа в протоколе SMB, из-за чего возможно принудить уязвимую машину подключиться к атакующему серверу и пройти аутентификацию.
Microsoft не раскрывает, кто именно опубликовал детали этой уязвимости, однако, согласно публикации Born City, DFN-CERT распространил предупреждение от компании RedTeam Pentesting за несколько дней до выхода обновления. Временной мерой защиты может быть принудительное включение SMB-подписи на сервере через групповую политику. В обнаружении уязвимости участвовали сразу несколько специалистов, включая Кэйсукэ Хирату из CrowdStrike, команды Synacktiv и RedTeam Pentesting GmbH, Стефана Вальтера из SySS GmbH и Джеймса Форшоу из Google Project Zero.
Помимо обновлений от Microsoft, в июне свои бюллетени выпустили и другие крупные разработчики. Так, например, Adobe закрыла уязвимости в продуктах InCopy, Experience Manager, Commerce, InDesign, Substance 3D Sampler, Acrobat Reader и Substance 3D Painter.
Google в июньском пакете безопасности для Android устранила несколько уязвимостей, включая активно эксплуатируемый нулевой день в браузере Chrome. Hewlett Packard Enterprise выпустила обновления безопасности для восьми уязвимостей в решении StoreOnce, а Ivanti закрыла три уязвимости с жёстко зашитыми ключами в продукте Workspace Control (IWC).
Отдельного внимания заслуживает отчёт Qualcomm, в котором сообщается об устранении трёх нулевых дней в драйвере графического процессора Adreno, использовавшихся в целевых атаках. Также было выпущено исправление для критической уязвимости в почтовом клиенте Roundcube, позволяющей удалённое выполнение кода и уже активно эксплуатируемой злоумышленниками. SAP обновила множество продуктов, включая устранение критической проблемы отсутствия проверки авторизации в SAP NetWeaver Application Server for ABAP.
Обновления июня демонстрируют высокую активность киберугроз и необходимость оперативной установки заплат для защиты систем, особенно учитывая активную эксплуатацию сразу нескольких уязвимостей нулевого дня.
В июньский выпуск обновлений безопасности Microsoft, выпущенный в рамках традиционного Patch Tuesday, вошли исправления для 66 уязвимостей. Из них одна уже активно эксплуатировалась злоумышленниками, а другая была публично раскрыта до выхода официального исправления. Кроме того, десять уязвимостей были классифицированы как критические — восемь из них позволяют удалённое выполнение кода, а две связаны с повышением привилегий.
Подробное распределение уязвимостей по типам выглядит следующим образом: 13 относятся к повышению привилегий, 3 — к обходу функций безопасности, 25 — к удалённому выполнению кода, 17 — к раскрытию информации, 6 — к отказу в обслуживании, и 2 — к спуфингу. В этот перечень не входят уязвимости, устранённые ранее в этом месяце в продуктах Mariner, Microsoft Edge и Power Automate.
Одной из самых опасных проблем, исправленных в этом месяце, стала уязвимость CVE-2025-33053 в компоненте Web Distributed Authoring and Versioning (WEBDAV) Windows. Она позволяла удалённому злоумышленнику выполнить произвольный код на целевой системе, если пользователь переходил по специально созданной ссылке WebDAV.
Уязвимость была обнаружена командой Check Point Research, которая сообщила, что атака происходила через манипуляции с рабочим каталогом встроенного инструмента Windows. В марте 2025 года через эту брешь была предпринята попытка кибератаки на оборонную компанию в Турции, за которой, по данным исследователей, стояла APT -группа Stealth Falcon. Microsoft официально присвоила уязвимости идентификатор CVE-2025-33053 и включила её в список обновлений 10 июня 2025 года. Авторами обнаружения указаны Александра Гофман и Давид Дрикер из Check Point Research.
Вторая уязвимость, CVE-2025-33073 , касается клиента SMB в Windows и была публично раскрыта до выпуска обновления. Она позволяет авторизованному злоумышленнику получить права SYSTEM через сетевое взаимодействие. Проблема заключается в неправильной реализации контроля доступа в протоколе SMB, из-за чего возможно принудить уязвимую машину подключиться к атакующему серверу и пройти аутентификацию.
Microsoft не раскрывает, кто именно опубликовал детали этой уязвимости, однако, согласно публикации Born City, DFN-CERT распространил предупреждение от компании RedTeam Pentesting за несколько дней до выхода обновления. Временной мерой защиты может быть принудительное включение SMB-подписи на сервере через групповую политику. В обнаружении уязвимости участвовали сразу несколько специалистов, включая Кэйсукэ Хирату из CrowdStrike, команды Synacktiv и RedTeam Pentesting GmbH, Стефана Вальтера из SySS GmbH и Джеймса Форшоу из Google Project Zero.
Помимо обновлений от Microsoft, в июне свои бюллетени выпустили и другие крупные разработчики. Так, например, Adobe закрыла уязвимости в продуктах InCopy, Experience Manager, Commerce, InDesign, Substance 3D Sampler, Acrobat Reader и Substance 3D Painter.
Google в июньском пакете безопасности для Android устранила несколько уязвимостей, включая активно эксплуатируемый нулевой день в браузере Chrome. Hewlett Packard Enterprise выпустила обновления безопасности для восьми уязвимостей в решении StoreOnce, а Ivanti закрыла три уязвимости с жёстко зашитыми ключами в продукте Workspace Control (IWC).
Отдельного внимания заслуживает отчёт Qualcomm, в котором сообщается об устранении трёх нулевых дней в драйвере графического процессора Adreno, использовавшихся в целевых атаках. Также было выпущено исправление для критической уязвимости в почтовом клиенте Roundcube, позволяющей удалённое выполнение кода и уже активно эксплуатируемой злоумышленниками. SAP обновила множество продуктов, включая устранение критической проблемы отсутствия проверки авторизации в SAP NetWeaver Application Server for ABAP.
Обновления июня демонстрируют высокую активность киберугроз и необходимость оперативной установки заплат для защиты систем, особенно учитывая активную эксплуатацию сразу нескольких уязвимостей нулевого дня.