پشتیبانی 24/7 :

031-36691964 | 021-88203003

جستجو

انتشار وصله های امنیتی ماه ژوئن مایکروسافت و رفع 66 آسیب پذیری

تیتر مطالب

مایکروسافت وصله های امنیتی ماه ژوئن خود را منتشر و 66 آسیب پذیری شامل یک آسیب پذیری تحت بهره برداری و یک آسیب پذیری افشا شده عمومی، را رفع نموده است.

در این به روز رسانی 10 آسیب پذیری حیاتی، 8 آسیب پذیری اجرای کد از راه دور و 2 آسیب پذیری ارتقای سطح دسترسی رفع شده است.

تعداد آسیب پذیری ها در هر دسته به شکل زیر است:

  • 13 Elevation of Privilege Vulnerabilities
  • 3 Security Feature Bypass Vulnerabilities
  • 25 Remote Code Execution Vulnerabilities
  • 17 Information Disclosure Vulnerabilities
  • 6 Denial of Service Vulnerabilities
  • 2 Spoofing Vulnerabilities

 

دو آسیب پذیری Zero-day

در به روز رسانی این ماه مایکروسافت یک آسیب پذیری Zero-day  در حال بهره برداری و یک آسیب پذیری افشا شده به صورت عمومی رفع شده است.

آسیب پذیری تحت بهره برداری:

CVE-2025-33053 – Web Distributed Authoring and Versioning (WEBDAV) Remote Code Execution Vulnerability

مایکروسافت یک آسیب‌پذیری اجرای کد از راه دور را که توسط Check Point Research کشف شده بود، برطرف کرد.

در یک توصیه‌نامه‌ی Check Point Research آمده است: «یک آسیب‌پذیری اجرای کد از راه دور در Microsoft Windows Web Distributed Authoring and Versioning وجود دارد. سوءاستفاده‌ی موفقیت‌آمیز از این آسیب‌پذیری می‌تواند به یک مهاجم از راه دور اجازه دهد تا کد دلخواه را روی سیستم آسیب‌دیده اجرا کند.»

در توصیه‌نامه‌ی مایکروسافت همچنین آمده است که کاربر باید روی یک URL WebDav ساخته‌شده‌ی خاص کلیک کند تا این نقص مورد سوءاستفاده قرار گیرد.

گزارش جدیدی از Check Point Research توضیح می‌دهد که CVE-2025-33053 در حملات روز صفر توسط یک گروه APT به نام «Stealth Falcon» مورد سوءاستفاده قرار گرفته است. در مارس 2025، Check Point Research یک حمله‌ی سایبری علیه یک شرکت در ترکیه را شناسایی کرد. عاملان تهدید از یک تکنیک قبلاً فاش‌نشده برای اجرای فایل‌های میزبانی‌شده روی یک سرور WebDAV ، با دستکاری دایرکتوری کاری یک ابزار قانونی داخلی ویندوز استفاده کردند.

پس از افشای این آسیب پذیری، مایکروسافت این آسیب‌پذیری را با شناسه CVE-2025-33053 شناسایی و در 10 ژوئن 2025، به عنوان بخشی از به‌روزرسانی‌های سه‌شنبه ماهیانه خود، وصله‌ای برای آن منتشر کرد.

آسیب پذیری ای که به صورت عمومی افشا شده است:

CVE-2025-33073 – Windows SMB Client Elevation of Privilege Vulnerability

مایکروسافت نقصی را در Windows SMB برطرف کرده است که به مهاجمان اجازه می‌دهد تا در دستگاه‌های آسیب‌پذیر، امتیازات SYSTEM را به دست آورند.

به گفته مایکروسافت برای سوءاستفاده از این آسیب‌پذیری، یک مهاجم می‌تواند یک اسکریپت مخرب ویژه ساخته شده را اجرا کند تا دستگاه قربانی را مجبور به اتصال مجدد به سیستم حمله با استفاده از SMB و احراز هویت کند. این امر می‌تواند منجر به افزایش امتیاز شود.

در حالی که اکنون به‌روزرسانی در دسترس است و بهترین راهکار دریافت و نصب وصله است اما طبق گزارش‌ها، می‌توان با اجرای امضای SMB سمت سرور از طریق Group Policy، این نقص را کاهش داد.

 

به روز رسانی های منتشر شده از سوی سایر شرکتها

  • Adobe released security updates for InCopy, Experience Manager, Commerce, InDesign, Substance 3D Sampler, Acrobat Reader, and Substance 3D Painter.
  • Cisco released patches for three vulnerabilities with public exploit code in its Identity Services Engine (ISE) and Customer Collaboration Platform (CCP) products.
  • Fortinet released security updates for an OS command (‘OS Command Injection’) vulnerability in FortiManager, FortiAnalyzer & FortiAnalyzer-BigData products.
  • Google’s June 2025 security updates for Android fix numerous vulnerabilities. Google also fixed an actively exploited Google Chrome zero-day flaw.
  • Hewlett Packard Enterprise (HPE) issued security updates to fix eight vulnerabilities impacting StoreOnce,
  • Ivanti released security updates to fix three high-severity hardcoded key vulnerabilities in Workspace Control (IWC).
  • Qualcomm released security updates for three zero-day vulnerabilities in the Adreno Graphics Processing Unit (GPU) driver that are exploited in targeted attacks.
  • Roundcube released security updates for a critical remote code execution (RCE) flaw with a public exploit that is now exploited in attacks.
  • SAP releases security updates for multiple products, including a critical missing authorization check in SAP NetWeaver Application Server for ABAP.

 

لیست کامل به روز رسانی های ماه ژوئن مایکروسافت

 

TagCVE IDCVE TitleSeverity
.NET and Visual StudioCVE-2025-30399.NET and Visual Studio Remote Code Execution VulnerabilityImportant
App Control for Business (WDAC)CVE-2025-33069Windows App Control for Business Security Feature Bypass VulnerabilityImportant
Microsoft AutoUpdate (MAU)CVE-2025-47968Microsoft AutoUpdate (MAU) Elevation of Privilege VulnerabilityImportant
Microsoft Local Security Authority Server (lsasrv)CVE-2025-33056Windows Local Security Authority (LSA) Denial of Service VulnerabilityImportant
Microsoft OfficeCVE-2025-47164Microsoft Office Remote Code Execution VulnerabilityCritical
Microsoft OfficeCVE-2025-47167Microsoft Office Remote Code Execution VulnerabilityCritical
Microsoft OfficeCVE-2025-47162Microsoft Office Remote Code Execution VulnerabilityCritical
Microsoft OfficeCVE-2025-47173Microsoft Office Remote Code Execution VulnerabilityImportant
Microsoft OfficeCVE-2025-47953Microsoft Office Remote Code Execution VulnerabilityCritical
Microsoft Office ExcelCVE-2025-47165Microsoft Excel Remote Code Execution VulnerabilityImportant
Microsoft Office ExcelCVE-2025-47174Microsoft Excel Remote Code Execution VulnerabilityImportant
Microsoft Office OutlookCVE-2025-47171Microsoft Outlook Remote Code Execution VulnerabilityImportant
Microsoft Office OutlookCVE-2025-47176Microsoft Outlook Remote Code Execution VulnerabilityImportant
Microsoft Office PowerPointCVE-2025-47175Microsoft PowerPoint Remote Code Execution VulnerabilityImportant
Microsoft Office SharePointCVE-2025-47172Microsoft SharePoint Server Remote Code Execution VulnerabilityCritical
Microsoft Office SharePointCVE-2025-47166Microsoft SharePoint Server Remote Code Execution VulnerabilityImportant
Microsoft Office SharePointCVE-2025-47163Microsoft SharePoint Server Remote Code Execution VulnerabilityImportant
Microsoft Office WordCVE-2025-47170Microsoft Word Remote Code Execution VulnerabilityImportant
Microsoft Office WordCVE-2025-47957Microsoft Word Remote Code Execution VulnerabilityImportant
Microsoft Office WordCVE-2025-47169Microsoft Word Remote Code Execution VulnerabilityImportant
Microsoft Office WordCVE-2025-47168Microsoft Word Remote Code Execution VulnerabilityImportant
Nuance Digital Engagement PlatformCVE-2025-47977Nuance Digital Engagement Platform Spoofing VulnerabilityImportant
Remote Desktop ClientCVE-2025-32715Remote Desktop Protocol Client Information Disclosure VulnerabilityImportant
Visual StudioCVE-2025-47959Visual Studio Remote Code Execution VulnerabilityImportant
WebDAVCVE-2025-33053Web Distributed Authoring and Versioning (WEBDAV) Remote Code Execution VulnerabilityImportant
Windows Common Log File System DriverCVE-2025-32713Windows Common Log File System Driver Elevation of Privilege VulnerabilityImportant
Windows Cryptographic ServicesCVE-2025-29828Windows Schannel Remote Code Execution VulnerabilityCritical
Windows DHCP ServerCVE-2025-33050DHCP Server Service Denial of Service VulnerabilityImportant
Windows DHCP ServerCVE-2025-32725DHCP Server Service Denial of Service VulnerabilityImportant
Windows DWM Core LibraryCVE-2025-33052Windows DWM Core Library Information Disclosure VulnerabilityImportant
Windows HelloCVE-2025-47969Windows Virtualization-Based Security (VBS) Information Disclosure VulnerabilityImportant
Windows InstallerCVE-2025-33075Windows Installer Elevation of Privilege VulnerabilityImportant
Windows InstallerCVE-2025-32714Windows Installer Elevation of Privilege VulnerabilityImportant
Windows KDC Proxy Service (KPSSVC)CVE-2025-33071Windows KDC Proxy Service (KPSSVC) Remote Code Execution VulnerabilityCritical
Windows KernelCVE-2025-33067Windows Task Scheduler Elevation of Privilege VulnerabilityImportant
Windows Local Security Authority (LSA)CVE-2025-33057Windows Local Security Authority (LSA) Denial of Service VulnerabilityImportant
Windows Local Security Authority Subsystem Service (LSASS)CVE-2025-32724Local Security Authority Subsystem Service (LSASS) Denial of Service VulnerabilityImportant
Windows MediaCVE-2025-32716Windows Media Elevation of Privilege VulnerabilityImportant
Windows NetlogonCVE-2025-33070Windows Netlogon Elevation of Privilege VulnerabilityCritical
Windows Recovery DriverCVE-2025-32721Windows Recovery Driver Elevation of Privilege VulnerabilityImportant
Windows Remote Access Connection ManagerCVE-2025-47955Windows Remote Access Connection Manager Elevation of Privilege VulnerabilityImportant
Windows Remote Desktop ServicesCVE-2025-32710Windows Remote Desktop Services Remote Code Execution VulnerabilityCritical
Windows Routing and Remote Access Service (RRAS)CVE-2025-33064Windows Routing and Remote Access Service (RRAS) Remote Code Execution VulnerabilityImportant
Windows Routing and Remote Access Service (RRAS)CVE-2025-33066Windows Routing and Remote Access Service (RRAS) Remote Code Execution VulnerabilityImportant
Windows SDKCVE-2025-47962Windows SDK Elevation of Privilege VulnerabilityImportant
Windows Secure BootCVE-2025-3052Cert CC: CVE-2025-3052 InsydeH2O Secure Boot BypassImportant
Windows Security AppCVE-2025-47956Windows Security App Spoofing VulnerabilityImportant
Windows ShellCVE-2025-47160Windows Shortcut Files Security Feature Bypass VulnerabilityImportant
Windows SMBCVE-2025-33073Windows SMB Client Elevation of Privilege VulnerabilityImportant
Windows SMBCVE-2025-32718Windows SMB Client Elevation of Privilege VulnerabilityImportant
Windows Standards-Based Storage Management ServiceCVE-2025-33068Windows Standards-Based Storage Management Service Denial of Service VulnerabilityImportant
Windows Storage Management ProviderCVE-2025-32719Windows Storage Management Provider Information Disclosure VulnerabilityImportant
Windows Storage Management ProviderCVE-2025-24065Windows Storage Management Provider Information Disclosure VulnerabilityImportant
Windows Storage Management ProviderCVE-2025-24068Windows Storage Management Provider Information Disclosure VulnerabilityImportant
Windows Storage Management ProviderCVE-2025-33055Windows Storage Management Provider Information Disclosure VulnerabilityImportant
Windows Storage Management ProviderCVE-2025-24069Windows Storage Management Provider Information Disclosure VulnerabilityImportant
Windows Storage Management ProviderCVE-2025-33060Windows Storage Management Provider Information Disclosure VulnerabilityImportant
Windows Storage Management ProviderCVE-2025-33059Windows Storage Management Provider Information Disclosure VulnerabilityImportant
Windows Storage Management ProviderCVE-2025-33062Windows Storage Management Provider Information Disclosure VulnerabilityImportant
Windows Storage Management ProviderCVE-2025-33061Windows Storage Management Provider Information Disclosure VulnerabilityImportant
Windows Storage Management ProviderCVE-2025-33058Windows Storage Management Provider Information Disclosure VulnerabilityImportant
Windows Storage Management ProviderCVE-2025-32720Windows Storage Management Provider Information Disclosure VulnerabilityImportant
Windows Storage Management ProviderCVE-2025-33065Windows Storage Management Provider Information Disclosure VulnerabilityImportant
Windows Storage Management ProviderCVE-2025-33063Windows Storage Management Provider Information Disclosure VulnerabilityImportant
Windows Storage Port DriverCVE-2025-32722Windows Storage Port Driver Information Disclosure VulnerabilityImportant
Windows Win32K – GRFXCVE-2025-32712Win32k Elevation of Privilege VulnerabilityImportant

 

منبع:

bleepingcomputer

مهندسی تحقیق و توسعه ارتباط پانا

از سال ۱۳۸۴ به عنوان شرکتی پیشرو در زمینه “امنیت شبکه” فعالیت خود را آغاز کرد و با اخذ مجوزهای مربوطه و همچنین با بهره گیری از تیمی متخصص و حرفه ای در جایگاه یکی از معتبرترین فعالان این صنعت قرار گرفته است. 

دسترسی سریع

امنیت حرفه ای

عضویت در خبرنامه

شبکه اجتماعی