Microsoft 最新的补丁星期二更新于 6 月 10 日下午茶时间如期发布,管理员们面临的工作负荷比最近轻松了不少,进入夏季的工作量相对较轻——至少比近期要轻松——仅有不到 70 个安全漏洞需要关注,其中只有两个潜在的零日通用漏洞和暴露 (CVE) 在范围内。
本月最紧急的两个修补问题是 CVE-2025-33053,这是 Web Distributed Authoring and Versioning (WEBDAV) 中的远程代码执行 (RCE) 漏洞,以及 CVE-2025-33073,这是 Windows Server Message Block (SMB) 客户端中的权限提升 (EoP) 漏洞。两者的 CVSS 评分都是 8.8。
Microsoft 透露,有证据表明第一个 CVE 已经在野外被利用,尽管概念验证代码尚未公开,而第二个则相反。它将 RCE 漏洞归功于 Check Point Research 的 Alexandra Gofman 和 David Driker,而第二个则归功于 CrowdStrike、Synacktiv、SySS GmbH 和 Google Project Zero 的研究人员。
在这两个漏洞中,CVE-2025-33053 可能是最紧急的修补需求。这是因为在实践中,该问题影响了各种工具,这些工具仍然以传统方式集成了已停用的 Internet Explorer 浏览器,因此 Microsoft 被迫为早已停止支持的平台制作补丁,最远可追溯到 Windows 8 和 Server 2012。
补丁管理专家 Action1 的总裁兼联合创始人 Mike Walters 解释说:"这个漏洞允许攻击者在用户点击恶意 URL 时在受影响的系统上执行远程代码。"
"该漏洞利用 WebDAV 的文件处理功能在当前用户的上下文中运行任意代码。如果用户拥有管理员权限,影响可能很严重。"
Walters 说:"这个漏洞特别令人担忧的是 WebDAV 在企业环境中用于远程文件共享和协作的广泛使用。许多组织为合法的业务需求启用 WebDAV——往往没有充分了解它带来的安全风险。"
他补充说:"潜在影响是广泛的,全球数百万组织面临风险。估计 70% 到 80% 的企业可能面临威胁——特别是那些缺乏严格 URL 过滤或用户钓鱼威胁培训的企业。"
与此同时,Immersive 的网络威胁情报研究员 Ben Hopkins 对第二个潜在零日漏洞 CVE-2023-33073 进行了分析。
Hopkins 解释说:"它被归类为权限提升漏洞,这表明成功的漏洞利用将允许攻击者在受感染的系统上获得更高级别的权限。"
"威胁行为者高度寻求这种性质的漏洞。一旦攻击者通过钓鱼或利用其他漏洞等方法在机器上获得初始立足点,他们就可以利用权限升级漏洞来获得更深层次的控制。"
他继续说:"有了提升的权限,攻击者可能会禁用安全工具、访问和窃取敏感数据、安装持久恶意软件,或在网络中横向移动以感染其他系统。"
"考虑到高严重性评级和 SMB 在 Windows 网络中的关键作用,组织应该优先应用必要的安全补丁来减轻此漏洞带来的风险。"
**墙上挂着 10 个关键漏洞**
Microsoft 6 月补丁星期二更新还包括不少于 10 个关键漏洞——其中四个影响 Microsoft Office,另外分别有一个在 Microsoft SharePoint Server、Power Automate、Windows KDC Proxy Service (KPSSVC)、Windows Netlogon、Windows Remote Desktop Services 和 Windows Schannel 中。其中,八个——包括所有四个 Office 漏洞——都是 RCE 问题,另外两个支持权限升级。
Immersive 威胁研究高级总监 Kev Breen 表示,防护人员应该将 Office 漏洞列为高优先级。
Breen 说:"被列为 use after free、基于堆的缓冲区溢出和类型混淆 RCE,这些漏洞将允许攻击者制作恶意文档,如果发送并被受害者打开,将使攻击者能够远程在受害者的计算机上运行命令。"
"Microsoft 还表示'预览窗格'是一个攻击向量,这意味着仅仅在 Outlook 等程序中查看附件就足以触发漏洞利用。"
Breen 说:"更令人担忧的是,Microsoft 表示在发布时 Microsoft 365 没有可用的更新,客户将通过此通知的修订版本得到通知。"
他补充说:"虽然这个 CVE 目前没有被积极利用,但风险仍然很高,因为已知威胁行为者会快速逆向工程补丁来创建 n-day 漏洞利用,在组织有机会推出补丁之前。"
好文章,需要你的鼓励
Gartner预测,到2030年所有IT工作都将涉及AI技术的使用,这与目前81%的IT工作不使用AI形成鲜明对比。届时25%的IT工作将完全由机器人执行,75%由人类在AI辅助下完成。尽管AI将取代部分入门级IT职位,但Gartner认为不会出现大规模失业潮,目前仅1%的失业由AI造成。研究显示65%的公司在AI投资上亏损,而世界经济论坛预计AI到2030年创造的就业机会将比消除的多7800万个。
CORA是微软研究院与谷歌研究团队联合开发的突破性AI视觉模型,发表于2023年CVPR会议。它通过创新的"区域提示"和"锚点预匹配"技术,成功解决了计算机视觉领域的一大挑战——开放词汇目标检测。CORA能够识别训练数据中从未出现过的物体类别,就像人类能够举一反三一样。在LVIS数据集测试中,CORA的性能比现有最佳方法提高了4.6个百分点,尤其在稀有类别识别上表现突出。这一技术有望广泛应用于自动驾驶、零售、安防和辅助技术等多个领域。
人工智能正从软件故事转向AI工厂基础,芯片、数据管道和网络协同工作形成数字化生产系统。这种新兴模式重新定义了性能衡量标准和跨行业价值创造方式。AI工厂将定制半导体、低延迟结构和大规模数据仪器整合为实时反馈循环,产生竞争优势。博通、英伟达和IBM正在引领这一转变,通过长期定制芯片合同和企业遥测技术,将传统体验转化为活跃的数字生态系统。
中国电信研究院联合重庆大学、北航发布T2R-bench基准,首次系统评估AI从工业表格生成专业报告的能力。研究涵盖457个真实工业表格,测试25个主流AI模型,发现最强模型得分仅62.71%,远低于人类专家96.52%。揭示AI在处理复杂结构表格、超大规模数据时存在数字计算错误、信息遗漏等关键缺陷,为AI数据分析技术改进指明方向。