Две 0-day и 10 критических багов: что принёс июньский апдейт Windows

Екатерина Быстрова 11 Июня 2025 - 09:20

Домашние пользователи

Уязвимость нулевого дня

Патчи

...

Две 0-day и 10 критических багов: что принёс июньский апдейт Windows

Сегодня Microsoft выпустила июньский пакет обновлений — традиционный Patch Tuesday. В этот раз в него вошли 66 уязвимостей, из которых одна уже используется в атаках, а другая была публично раскрыта до релиза патча.

Кроме того, Microsoft устранила 10 критических уязвимостей, из них 8 — это RCE (удалённое выполнение кода) и ещё 2 — эскалация привилегий.

Что по категориям

Обновление закрывает уязвимости следующих типов:

13 — повышение прав.
3 — обход средств безопасности.
25 — удалённое выполнение кода.
17 — раскрытие информации.
6 — отказ в обслуживании.
2 — спуфинг.

Две zero-day: одна в бою, другая уже в открытом доступе

1. CVE-2025-33053 — WebDAV Remote Code Execution (эксплуатируется)

Эта уязвимость в компоненте WebDAV Windows позволяет атакующему удалённо выполнить код. Главное условие — жертва должна кликнуть по специально сформированной WebDAV-ссылке.

По данным Check Point Research, уязвимость уже использовалась в марте 2025 года APT-группой Stealth Falcon в атаке на оборонную компанию в Турции. Злоумышленники подменили рабочую директорию штатного Windows-инструмента и запускали вредоносный код с подконтрольного WebDAV-сервера.

Уязвимость обнаружили Александра Гофман и Давид Дрикер (Check Point). Microsoft присвоила номер CVE-2025-33053 и выпустила патч 10 июня 2025 года.

2. CVE-2025-33073 — SMB Client Elevation of Privilege (публично раскрыта)

Вторая zero-day — уязвимость в клиенте SMB, позволяющая повысить привилегии до уровня SYSTEM. Атакующий может принудить систему жертвы подключиться к вредоносному SMB-серверу и пройти аутентификацию — после чего получает повышенные права.

Хотя патч уже вышел, Microsoft предлагает временную меру: включить серверную подпись SMB через Group Policy, чтобы снизить риск эксплуатации. Полный список закрытых брешей приводим в таблице ниже:

Tag	CVE-идентификатор	CVE-наименование	Степень риска
.NET and Visual Studio	CVE-2025-30399	.NET and Visual Studio Remote Code Execution Vulnerability	Важная
App Control for Business (WDAC)	CVE-2025-33069	Windows App Control for Business Security Feature Bypass Vulnerability	Важная
Microsoft AutoUpdate (MAU)	CVE-2025-47968	Microsoft AutoUpdate (MAU) Elevation of Privilege Vulnerability	Важная
Microsoft Local Security Authority Server (lsasrv)	CVE-2025-33056	Windows Local Security Authority (LSA) Denial of Service Vulnerability	Важная
Microsoft Office	CVE-2025-47164	Microsoft Office Remote Code Execution Vulnerability	Критическая
Microsoft Office	CVE-2025-47167	Microsoft Office Remote Code Execution Vulnerability	Критическая
Microsoft Office	CVE-2025-47162	Microsoft Office Remote Code Execution Vulnerability	Критическая
Microsoft Office	CVE-2025-47173	Microsoft Office Remote Code Execution Vulnerability	Важная
Microsoft Office	CVE-2025-47953	Microsoft Office Remote Code Execution Vulnerability	Критическая
Microsoft Office Excel	CVE-2025-47165	Microsoft Excel Remote Code Execution Vulnerability	Важная
Microsoft Office Excel	CVE-2025-47174	Microsoft Excel Remote Code Execution Vulnerability	Важная
Microsoft Office Outlook	CVE-2025-47171	Microsoft Outlook Remote Code Execution Vulnerability	Важная
Microsoft Office Outlook	CVE-2025-47176	Microsoft Outlook Remote Code Execution Vulnerability	Важная
Microsoft Office PowerPoint	CVE-2025-47175	Microsoft PowerPoint Remote Code Execution Vulnerability	Важная
Microsoft Office SharePoint	CVE-2025-47172	Microsoft SharePoint Server Remote Code Execution Vulnerability	Критическая
Microsoft Office SharePoint	CVE-2025-47166	Microsoft SharePoint Server Remote Code Execution Vulnerability	Важная
Microsoft Office SharePoint	CVE-2025-47163	Microsoft SharePoint Server Remote Code Execution Vulnerability	Важная
Microsoft Office Word	CVE-2025-47170	Microsoft Word Remote Code Execution Vulnerability	Важная
Microsoft Office Word	CVE-2025-47957	Microsoft Word Remote Code Execution Vulnerability	Важная
Microsoft Office Word	CVE-2025-47169	Microsoft Word Remote Code Execution Vulnerability	Важная
Microsoft Office Word	CVE-2025-47168	Microsoft Word Remote Code Execution Vulnerability	Важная
Nuance Digital Engagement Platform	CVE-2025-47977	Nuance Digital Engagement Platform Spoofing Vulnerability	Важная
Remote Desktop Client	CVE-2025-32715	Remote Desktop Protocol Client Information Disclosure Vulnerability	Важная
Visual Studio	CVE-2025-47959	Visual Studio Remote Code Execution Vulnerability	Важная
WebDAV	CVE-2025-33053	Web Distributed Authoring and Versioning (WEBDAV) Remote Code Execution Vulnerability	Важная
Windows Common Log File System Driver	CVE-2025-32713	Windows Common Log File System Driver Elevation of Privilege Vulnerability	Важная
Windows Cryptographic Services	CVE-2025-29828	Windows Schannel Remote Code Execution Vulnerability	Критическая
Windows DHCP Server	CVE-2025-33050	DHCP Server Service Denial of Service Vulnerability	Важная
Windows DHCP Server	CVE-2025-32725	DHCP Server Service Denial of Service Vulnerability	Важная
Windows DWM Core Library	CVE-2025-33052	Windows DWM Core Library Information Disclosure Vulnerability	Важная
Windows Hello	CVE-2025-47969	Windows Virtualization-Based Security (VBS) Information Disclosure Vulnerability	Важная
Windows Installer	CVE-2025-33075	Windows Installer Elevation of Privilege Vulnerability	Важная
Windows Installer	CVE-2025-32714	Windows Installer Elevation of Privilege Vulnerability	Важная
Windows KDC Proxy Service (KPSSVC)	CVE-2025-33071	Windows KDC Proxy Service (KPSSVC) Remote Code Execution Vulnerability	Критическая
Windows Kernel	CVE-2025-33067	Windows Task Scheduler Elevation of Privilege Vulnerability	Важная
Windows Local Security Authority (LSA)	CVE-2025-33057	Windows Local Security Authority (LSA) Denial of Service Vulnerability	Важная
Windows Local Security Authority Subsystem Service (LSASS)	CVE-2025-32724	Local Security Authority Subsystem Service (LSASS) Denial of Service Vulnerability	Важная
Windows Media	CVE-2025-32716	Windows Media Elevation of Privilege Vulnerability	Важная
Windows Netlogon	CVE-2025-33070	Windows Netlogon Elevation of Privilege Vulnerability	Критическая
Windows Recovery Driver	CVE-2025-32721	Windows Recovery Driver Elevation of Privilege Vulnerability	Важная
Windows Remote Access Connection Manager	CVE-2025-47955	Windows Remote Access Connection Manager Elevation of Privilege Vulnerability	Важная
Windows Remote Desktop Services	CVE-2025-32710	Windows Remote Desktop Services Remote Code Execution Vulnerability	Критическая
Windows Routing and Remote Access Service (RRAS)	CVE-2025-33064	Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability	Важная
Windows Routing and Remote Access Service (RRAS)	CVE-2025-33066	Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability	Важная
Windows SDK	CVE-2025-47962	Windows SDK Elevation of Privilege Vulnerability	Важная
Windows Secure Boot	CVE-2025-3052	Cert CC: CVE-2025-3052 InsydeH2O Secure Boot Bypass	Важная
Windows Security App	CVE-2025-47956	Windows Security App Spoofing Vulnerability	Важная
Windows Shell	CVE-2025-47160	Windows Shortcut Files Security Feature Bypass Vulnerability	Важная
Windows SMB	CVE-2025-33073	Windows SMB Client Elevation of Privilege Vulnerability	Важная
Windows SMB	CVE-2025-32718	Windows SMB Client Elevation of Privilege Vulnerability	Важная
Windows Standards-Based Storage Management Service	CVE-2025-33068	Windows Standards-Based Storage Management Service Denial of Service Vulnerability	Важная
Windows Storage Management Provider	CVE-2025-32719	Windows Storage Management Provider Information Disclosure Vulnerability	Важная
Windows Storage Management Provider	CVE-2025-24065	Windows Storage Management Provider Information Disclosure Vulnerability	Важная
Windows Storage Management Provider	CVE-2025-24068	Windows Storage Management Provider Information Disclosure Vulnerability	Важная
Windows Storage Management Provider	CVE-2025-33055	Windows Storage Management Provider Information Disclosure Vulnerability	Важная
Windows Storage Management Provider	CVE-2025-24069	Windows Storage Management Provider Information Disclosure Vulnerability	Важная
Windows Storage Management Provider	CVE-2025-33060	Windows Storage Management Provider Information Disclosure Vulnerability	Важная
Windows Storage Management Provider	CVE-2025-33059	Windows Storage Management Provider Information Disclosure Vulnerability	Важная
Windows Storage Management Provider	CVE-2025-33062	Windows Storage Management Provider Information Disclosure Vulnerability	Важная
Windows Storage Management Provider	CVE-2025-33061	Windows Storage Management Provider Information Disclosure Vulnerability	Важная
Windows Storage Management Provider	CVE-2025-33058	Windows Storage Management Provider Information Disclosure Vulnerability	Важная
Windows Storage Management Provider	CVE-2025-32720	Windows Storage Management Provider Information Disclosure Vulnerability	Важная
Windows Storage Management Provider	CVE-2025-33065	Windows Storage Management Provider Information Disclosure Vulnerability	Важная
Windows Storage Management Provider	CVE-2025-33063	Windows Storage Management Provider Information Disclosure Vulnerability	Важная
Windows Storage Port Driver	CVE-2025-32722	Windows Storage Port Driver Information Disclosure Vulnerability	Важная
Windows Win32K - GRFX	CVE-2025-32712	Win32k Elevation of Privilege Vulnerability	Важная

Следующая главная новость »

Многофакторная аутентификация 2026 - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 02 Февраля 2026 - 11:20

Корпорации «Группа Астра»

Отгрузки «Группы Астра» в 2025 году выросли до 21,8 млрд рублей

«Группа Астра» подвела итоги 2025 года по отгрузкам — ключевому управленческому показателю компании. За год они выросли на 9% и составили 21,8 млрд рублей. Рост обеспечили расширение клиентской базы, масштабирование бизнеса и развитие продуктовой экосистемы.

Количество клиентов компании превысило 18,5 тыс. Для сравнения: в 2024 году их было чуть более 18,1 тыс., а в 2023-м — около 10,2 тыс.

Параллельно «Группа Астра» усилила позиции в части технологических партнёрств: число решений, совместимых с её экосистемой, за год выросло на 28% — до 4 144.

Заместитель генерального директора по экономике и финансам «Группы Астра» Елена Бородкина отметила, что итоговые показатели превзошли декабрьские ожидания компании. По её словам, даже в условиях жёсткой денежно-кредитной политики отгрузки приблизились к 22 млрд рублей, что подтвердило устойчивость бизнес-модели. Компания продолжает пилотировать свои продукты в инфраструктуре заказчиков и рассчитывает, что по мере улучшения экономической ситуации этот отложенный спрос будет конвертироваться в продажи.

В течение года «Группа Астра» активно инвестировала в развитие продуктов, операционную эффективность и партнёрскую экосистему. Количество решений, прошедших сертификацию Ready for Astra, превысило 4 100, что, по оценке компании, упрощает миграцию заказчиков на отечественное ПО.

Среди корпоративных событий компания отметила ход программы обратного выкупа акций, запущенной в апреле 2025 года. По состоянию на 2 февраля «Группа Астра» выкупила 650 тыс. акций — примерно столько же бумаг ранее было передано сотрудникам в рамках программы долгосрочной мотивации. Окончательный объём buyback будет зависеть от финансового положения компании, рыночной цены акций и выполнения KPI менеджмента.

В IV квартале 2025 года компания продолжила расширять клиентскую базу и реализовывать крупные проекты. В частности, один из крупнейших российских производителей минеральных удобрений «Фосагро» перевёл более 2 тыс. сотрудников на Astra Linux, а к 2027 году планирует довести это число до 7 тыс. Также «Группа Астра» совместно с TECHNORED представила прототип системы управления промышленными роботами на базе своей операционной системы.

За весь 2025 год компания выпустила 94 минорных и мажорных релиза продуктов экосистемы. В четвёртом квартале вышла новая версия Astra Linux 1.8.4 с доработками в области администрирования, безопасности и виртуализации. Кроме того, на рынок была выведена линейка программно-аппаратных комплексов Astra XPlatform для быстрого развёртывания ИТ-инфраструктуры.

Отдельное внимание в конце года уделялось развитию экосистемы и вопросам информационной безопасности. Платформа контейнеризации «Боцман» была включена в реестр средств защиты информации ФСТЭК, а в программе Ready for Astra к концу года участвовало более 1 450 партнёров.

Компания также продолжила образовательные инициативы. В IV квартале «Астра-лаборатории» открылись в Ижевске и на Кубани, были запущены проекты в Бурятии, а совместно с РУДН, РАНХиГС и hh.ru компания начала развивать программы обучения и подтверждения ИТ-компетенций. Министерство просвещения РФ отметило вклад «Группы Астра» в развитие системы среднего профессионального образования.

Финансовые результаты по МСФО за 12 месяцев 2025 года компания планирует раскрыть 31 марта.

Многофакторная аутентификация 2026 - обсудим в эфире AM Live! Регистрируйтесь »