كان بالأمس تصحيح الثلاثاء لشهر يونيو ، وهذا يعني أن Microsoft قدمت إصلاحات أمان جديدة لـ 66 نقاط الضعف. وفقًا لـ Microsoft ، يتم بالفعل استغلال ضعف واحد في Windows للهجمات ويتم تصنيف العديد من نقاط الضعف الأخرى في Windows و Office على أنها أمر بالغ الأهمية.
استمر في القراءة لمزيد من التفاصيل حول نقاط الضعف الأمنية المختلفة التي تمت معالجتها. سيكون التصحيح التالي يوم الثلاثاء هو 8 يوليو 2025.
ثغرات الأمن في Windows
يتم نشر عدد كبير من نقاط الضعف – هذه المرة 44 – عبر إصدارات Windows المختلفة (10 وخادم جديد ، لا تزال Microsoft تقدم تحديثات أمان. لم يعد Windows 7 و 8.1 يتلقون تحديثات أمان ، لذلك تظل عرضة للخطر. إذا سمحت متطلبات النظام الخاصة بك ، فيجب عليك الترقية إلى نظام التشغيل Windows 11 24H2 في أقرب وقت الخاص بك لمواصلة تلقي تحديثات الأمان. (مع وصول Windows 10 إلى نهاية الحياة في أكتوبر ، لا نوصي بذلك.)
النوافذ تحت الهجوم
وفقًا لـ Microsoft ، هناك بالفعل هجمات يتم إجراؤها على ضعف CVE-2025-33053 في Windows ، والتي تؤثر على WebDAV و Internet Explorer. لا يزال هذا موجودًا كإرث في جميع إصدارات Windows لأن منصة MSHTML ، على سبيل المثال ، لا تزال تستخدمها بعض التطبيقات القديمة. إن النقر على رابط تم إعداده خصيصًا يكفي للمستخدم لتنفيذ التعليمات البرمجية المتسلسلة. تقدم Microsoft تحديثات لنظام التشغيل Windows Server 2008 وأحدث لإصلاح هذه الثغرة الأمنية.
إن EOP (ارتفاع الامتياز) CVE-2025-33073 في عميل Windows SMB معروف بالفعل بشكل عام. تود Microsoft أن تشكر الخبراء في العديد من شركات أمن تكنولوجيا المعلومات الذين أبلغوا بشكل خاص عن هذا الضعف إلى Microsoft. إذا كان من الممكن خداع المستخدم للاتصال بخادم ضار – فسيكون خادم SMB خيارًا واضحًا – ثم يمكن للخادم أن يعرض نظام المستخدم واكتساب امتيازات مرتفعة. في نهاية المطاف ، يمكن تنفيذ رمز مع حقوق النظام.
نقاط الضعف في Windows
حددت Microsoft ضعف RCE (CVE-2025-33071) في خدمة وكيل Kerberos KDC (KPSSVC) على أنها أمر بالغ الأهمية. لا تتأثر وحدات تحكم المجال عمومًا. يمكن استغلال RCE Budability CVE-2025-29828 في Windows Schannel من قبل مهاجم يرسل طوفان من رسائل “Hello” المجزأة إلى خادم يقبل اتصالات TLS. وفقًا لـ Dustin Childs ، قامت Microsoft سراً بتصحيح الضعف RCE CVE-2025-32710 في خدمات سطح المكتب عن بعد مرة أخرى في شهر مايو وهي الآن مجرد اللحاق بالوثائق.
يمكن أن يسمح EOP (ارتفاع الامتياز) CVE-2025-33070 في Windows Netlogon للمهاجم بالحصول على تصريحات مسؤول المجال عن طريق إرسال طلبات تسجيل الدخول المصنوعة إلى وحدة تحكم المجال. يبدو أن Microsoft تعتبر أنه من المحتمل أن يتم استغلال هذه الثغرة الأمنية في المستقبل المنظور.
حددت Microsoft أيضًا EOP Budability CVE-2025-47966 في أتمتة الطاقة الإنتاجية المستندة إلى مجموعة النظراء (تدفق Microsoft سابقًا) باعتبارها أمرًا بالغ الأهمية. لحسن الحظ ، اعتنت Microsoft بالفعل بها.
ثغرات الأمن المكتبية
قامت Microsoft بإصلاح 18 نقاط ضعف في عائلة منتجاتها ، بما في ذلك 17 نقاط الضعف RCE. يتم تصنيف خمسة نقاط الضعف على أنها حاسمة ، بما في ذلك تلك التي تؤثر بشكل خاص على SharePoint. تقوم Microsoft بتصنيف نقاط الضعف الأخرى على أنها عالية المخاطر.
بالنسبة إلى نقاط الضعف الأربعة الأخرى ، تعتبر نافذة المعاينة متجهًا للهجوم. هذا يعني أنه من الممكن أن يقوم ملف مستعد بتسهيل الهجوم فقط من خلال عرضه في المعاينة. لا يتعين على المستخدم النقر فوقه أو فتحه.
ثغرات الأمن متصفح
أحدث إصدار للمتصفح من Edge هو 137.0.3296.68 من 6 يونيو ، استنادًا إلى Chromium 137.0.7151.69. ومع ذلك ، أصدرت Google إصدار تحديث جديد Chrome (و Chromium) 137.0.7151.103/104 أمس في 10 يونيو ، والذي يحدد نقاط الضعف المصنفة على أنها عالية المخاطر.
ظهرت هذه المقالة في الأصل على PC-WELT Sister Publication وتم ترجمتها وتوطينها من الألمانية.