Albisteak

Microsoft-en segurtasuna eguneratzea - 2025eko Ekaina

Argitalpen-data: 

Laburpen exekutiboa

2025eko ekainean, Microsoft-ek bere hilabeteko Segurtasun Oharra (Patch Tuesday) argitaratu du, guztira 66 ahultasun detektatu dira, horietatik 10 kritikoak, 56 larritasun handiakoak eta 2 zero-day direnak.

Ahultasun kritiko nabarmenenen artean daude kodearen urruneko exekuzioa Windows Schannel-en (CVE-2025-29828), Windows Urruneko Mahaigaineko Zerbitzuetan (CVE-2025-32710) eta Microsoft Office-n (CVE-2025-47162, CVE-2025-47953, CVE-2025-47164 eta CVE-2025-47167), baita pribilegioen igoera Power Automate-en (CVE-2025-47966).

Zero-day CVE-2025-33053-en exploatazio aktiboa antzeman da WEBDAV-en.

Gomendatzen da Microsoft produktu guztiak berehala eguneratzea Windows Update bidez azken bertsioetara, dagokion patch-ak aplikatu eta ahultasun hauek arintzeko.

Ahultasunen sailkapena, haien deskripzioaren arabera, honakoa da:

  • 25 urruneko kode-exekuzio ahultasunak.
  • 17 informazioaren divulgazio ahultasunak.
  • 13 pribilegioen igoera ahultasunak.
  • 6 zerbitzu ukatzeko ahultasunak.
  • 3 segurtasun-funtzioen saihesbide ahultasunak.
  • 2 nortasun-usurpazio ahultasunak.

Eragindako baliabideak

Ahultasun hauek honako produktuetan eragiten dute:

  • Windows Storage Management Provider
  • Windows Cryptographic Services
  • .NET and Visual Studio
  • Windows Remote Desktop Services
  • Windows Win32K – GRFX
  • Windows Common Log File System Driver
  • Windows Installer
  • Remote Desktop Client
  • Windows Media
  • Windows SMB
  • Windows Recovery Driver
  • Windows Storage Port Driver
  • Windows Local Security Authority Subsystem Service (LSASS)
  • Windows DHCP Server
  • Windows DWM Core Library
  • WebDAV
  • Microsoft Local Security Authority Server (lsasrv)
  • Windows Local Security Authority (LSA)
  • Windows Routing and Remote Access Service (RRAS)
  • Windows Kernel
  • Windows Standards-Based Storage Management Service
  • App Control for Business (WDAC)
  • Windows Netlogon
  • Windows KDC Proxy Service (KPSSVC)
  • Windows Shell
  • Microsoft Office
  • Microsoft Office SharePoint
  • Microsoft Office Excel
  • Microsoft Office Word
  • Microsoft Office Outlook
  • Microsoft Office PowerPoint
  • Windows Remote Access Connection Manager
  • Windows Security App
  • Visual Studio
  • Windows SDK
  • Power Automate
  • Microsoft AutoUpdate (MAU)
  • Windows Hello
  • Nuance Digital Engagement Platform

Azterketa teknikoa

Ustiaturik dauden ahultasunen xehetasunak:

  • CVE-2025-33053: Kodearen Urruneko Exekuzio Ahultasuna Web Distributed Authoring and Versioning (WEBDAV) sisteman
    • Larritasuna: Garrantzitsua
    • CVSS: 8.8
    • Divulgazioa: Ez
    • Exploatazioa: Antzemandakoa
    • Azken bertsioan exploatazioa: Antzemandakoa
    • Beste konponbideak: Ez

Ageritako ahultasunen xehetasunak:

  • CVE-2025-33073: Windows SMB Bezeroaren Pribilegioen Igoera Ahultasuna
    • Larritasuna: Garrantzitsua
    • CVSS: 8.8
    • Divulgazioa: Bai
    • Exploatazioa: Ez detektatua
    • Azken bertsioan exploatazioa: Litekeena gutxiago
    • Beste konponbideak: Ez

Ahultasun kritikoen xehetasunak honako hauek dira:

  • CVE-2025-47966: Power Automate-en pribilegioen igoerako ahultasuna
    • Larritasuna: Kritikoa
    • CVSS: 9.8
    • Divulgazioa: Ez
    • Exploatazioa: Ez detektatua
    • Azken bertsioan exploatazioa: Ez aplikagarria
    • Beste konponbideak: Ez
  • CVE-2025-47172: Microsoft SharePoint zerbitzariaren urruneko kode-exekuzio ahultasuna
    • Larritasuna: Kritikoa
    • CVSS: 8.8
    • Divulgazioa: Ez
    • Exploatazioa: Ez detektatua
    • Azken bertsioan exploatazioa: Litekeena gutxi
    • Beste konponbideak: Ez
  • CVE-2025-47162: Microsoft Office-n urruneko kode-exekuzio ahultasuna
    • Larritasuna: Kritikoa
    • CVSS: 8.4
    • Divulgazioa: Ez
    • Exploatazioa: Ez detektatua
    • Azken bertsioan exploatazioa: Litekeena
    • Beste konponbideak: Ez
  • CVE-2025-47953: Microsoft Office-n urruneko kode-exekuzio ahultasuna
    • Larritasuna: Kritikoa
    • CVSS: 8.4
    • Divulgazioa: Ez
    • Exploatazioa: Ez detektatua
    • Azken bertsioan exploatazioa: Litekeena gutxi
    • Beste konponbideak: Ez
  • CVE-2025-47164: Microsoft Office-n urruneko kode-exekuzio ahultasuna
    • Larritasuna: Kritikoa
    • CVSS: 8.4
    • Divulgazioa: Ez
    • Exploatazioa: Ez detektatua
    • Azken bertsioan exploatazioa: Litekeena
    • Beste konponbideak: Ez
  • CVE-2025-47167: Microsoft Office-n urruneko kode-exekuzio ahultasuna
    • Larritasuna: Kritikoa
    • CVSS: 8.4
    • Divulgazioa: Ez
    • Exploatazioa: Ez detektatua
    • Azken bertsioan exploatazioa: Litekeena
    • Beste konponbideak: Ez
  • CVE-2025-29828: Windows Schannel-en urruneko kode-exekuzio ahultasuna
    • Larritasuna: Kritikoa
    • CVSS: 8.1
    • Divulgazioa: Ez
    • Exploatazioa: Ez detektatua
    • Azken bertsioan exploatazioa: Litekeena gutxi
    • Beste konponbideak: Ez
  • CVE-2025-32710: Windows Urruneko Mahaigaineko Zerbitzuetan urruneko kode-exekuzio ahultasuna
    • Larritasuna: Kritikoa
    • CVSS: 8.1
    • Divulgazioa: Ez
    • Exploatazioa: Ez detektatua
    • Azken bertsioan exploatazioa: Litekeena gutxi
    • Beste konponbideak: Ez
  • CVE-2025-33071: Windows KDC Proxy Zerbitzuan urruneko kode-exekuzio ahultasuna (KPSSVC)
    • Larritasuna: Kritikoa
    • CVSS: 8.1
    • Divulgazioa: Ez
    • Exploatazioa: Ez detektatua
    • Azken bertsioan exploatazioa: Litekeena
    • Beste konponbideak: Ez
  • CVE-2025-33070: Windows Netlogon pribilegioen igoerako ahultasuna
    • Larritasuna: Kritikoa
    • CVSS: 8.1
    • Divulgazioa: Ez
    • Exploatazioa: Ez detektatua
    • Azken bertsioan exploatazioa: Litekeena
    • Beste konponbideak: Ez

Arintzea/Konponbidea

Ahultasun hauek eta antzeko beste batzuk prebenitzeko, gomendagarria da Microsoft-en segurtasun-eguneratze berrienak aplikatzea sistema kaltetu guztietan.

Erreferentzia gehigarriak