Microsoft 最新的补丁星期二更新于 6 月 10 日下午茶时间如期发布,管理员们面临的工作负荷比最近轻松了不少,进入夏季的工作量相对较轻——至少比近期要轻松——仅有不到 70 个安全漏洞需要关注,其中只有两个潜在的零日通用漏洞和暴露 (CVE) 在范围内。
本月最紧急的两个修补问题是 CVE-2025-33053,这是 Web Distributed Authoring and Versioning (WEBDAV) 中的远程代码执行 (RCE) 漏洞,以及 CVE-2025-33073,这是 Windows Server Message Block (SMB) 客户端中的权限提升 (EoP) 漏洞。两者的 CVSS 评分都是 8.8。
Microsoft 透露,有证据表明第一个 CVE 已经在野外被利用,尽管概念验证代码尚未公开,而第二个则相反。它将 RCE 漏洞归功于 Check Point Research 的 Alexandra Gofman 和 David Driker,而第二个则归功于 CrowdStrike、Synacktiv、SySS GmbH 和 Google Project Zero 的研究人员。
在这两个漏洞中,CVE-2025-33053 可能是最紧急的修补需求。这是因为在实践中,该问题影响了各种工具,这些工具仍然以传统方式集成了已停用的 Internet Explorer 浏览器,因此 Microsoft 被迫为早已停止支持的平台制作补丁,最远可追溯到 Windows 8 和 Server 2012。
补丁管理专家 Action1 的总裁兼联合创始人 Mike Walters 解释说:"这个漏洞允许攻击者在用户点击恶意 URL 时在受影响的系统上执行远程代码。"
"该漏洞利用 WebDAV 的文件处理功能在当前用户的上下文中运行任意代码。如果用户拥有管理员权限,影响可能很严重。"
Walters 说:"这个漏洞特别令人担忧的是 WebDAV 在企业环境中用于远程文件共享和协作的广泛使用。许多组织为合法的业务需求启用 WebDAV——往往没有充分了解它带来的安全风险。"
他补充说:"潜在影响是广泛的,全球数百万组织面临风险。估计 70% 到 80% 的企业可能面临威胁——特别是那些缺乏严格 URL 过滤或用户钓鱼威胁培训的企业。"
与此同时,Immersive 的网络威胁情报研究员 Ben Hopkins 对第二个潜在零日漏洞 CVE-2023-33073 进行了分析。
Hopkins 解释说:"它被归类为权限提升漏洞,这表明成功的漏洞利用将允许攻击者在受感染的系统上获得更高级别的权限。"
"威胁行为者高度寻求这种性质的漏洞。一旦攻击者通过钓鱼或利用其他漏洞等方法在机器上获得初始立足点,他们就可以利用权限升级漏洞来获得更深层次的控制。"
他继续说:"有了提升的权限,攻击者可能会禁用安全工具、访问和窃取敏感数据、安装持久恶意软件,或在网络中横向移动以感染其他系统。"
"考虑到高严重性评级和 SMB 在 Windows 网络中的关键作用,组织应该优先应用必要的安全补丁来减轻此漏洞带来的风险。"
**墙上挂着 10 个关键漏洞**
Microsoft 6 月补丁星期二更新还包括不少于 10 个关键漏洞——其中四个影响 Microsoft Office,另外分别有一个在 Microsoft SharePoint Server、Power Automate、Windows KDC Proxy Service (KPSSVC)、Windows Netlogon、Windows Remote Desktop Services 和 Windows Schannel 中。其中,八个——包括所有四个 Office 漏洞——都是 RCE 问题,另外两个支持权限升级。
Immersive 威胁研究高级总监 Kev Breen 表示,防护人员应该将 Office 漏洞列为高优先级。
Breen 说:"被列为 use after free、基于堆的缓冲区溢出和类型混淆 RCE,这些漏洞将允许攻击者制作恶意文档,如果发送并被受害者打开,将使攻击者能够远程在受害者的计算机上运行命令。"
"Microsoft 还表示'预览窗格'是一个攻击向量,这意味着仅仅在 Outlook 等程序中查看附件就足以触发漏洞利用。"
Breen 说:"更令人担忧的是,Microsoft 表示在发布时 Microsoft 365 没有可用的更新,客户将通过此通知的修订版本得到通知。"
他补充说:"虽然这个 CVE 目前没有被积极利用,但风险仍然很高,因为已知威胁行为者会快速逆向工程补丁来创建 n-day 漏洞利用,在组织有机会推出补丁之前。"
好文章,需要你的鼓励
美国网络安全和基础设施安全局指示联邦机构修补影响思科ASA 5500-X系列防火墙设备的两个零日漏洞CVE-2025-20362和CVE-2025-20333。这些漏洞可绕过VPN身份验证并获取root访问权限,已被黑客积极利用。攻击与国家支持的ArcaneDoor黑客活动有关,黑客通过漏洞安装bootkit恶意软件并操控只读存储器实现持久化。思科已发布补丁,CISA要求机构清点易受攻击系统并在今日前完成修补。
康考迪亚大学研究团队通过对比混合量子-经典神经网络与传统模型在三个基准数据集上的表现,发现量子增强模型在准确率、训练速度和资源效率方面均显著优于传统方法。研究显示混合模型的优势随数据集复杂度提升而增强,在CIFAR100上准确率提升9.44%,训练速度提升5-12倍,且参数更少。该成果为实用化量子增强人工智能铺平道路。
TimeWave是一款功能全面的计时器应用,超越了苹果自带时钟应用的功能。它支持创建流式计时器,让用户可以设置连续的任务计时,帮助专注工作。应用采用简洁的黑白设计,融入了Liquid Glass元素。内置冥想、番茄工作法、20-20-20护眼等多种计时模式,支持实时活动显示和Siri快捷指令。免费版提供基础功能,高级版需付费订阅。
沙特KAUST大学团队开发了专门针对阿拉伯语的AI模型家族"Hala",通过创新的"翻译再调优"技术路线,将高质量英语指令数据转化为450万规模的阿拉伯语语料库,训练出350M到9B参数的多个模型。在阿拉伯语专项测试中,Hala在同规模模型中表现最佳,证明了语言专门化策略的有效性,为阿拉伯语AI发展和其他语言的专门化模型提供了可复制的技术方案。