Microsoft heeft 66 kwetsbaarheden aangepakt in de beveiligingsupdate van juni 2025. De patches van deze maand bevatten oplossingen voor één actief uitgebuite zero-day kwetsbaarheid en negen kritieke kwetsbaarheden, samen met 56 aanvullende kwetsbaarheden van verschillende ernstgraden.
Actief uitgebuite zero-day
CVE-2025-33053 is een belangrijke kwetsbaarheid voor externe code-uitvoering die Web Distributed Authoring and Versioning (WebDAV) beïnvloedt met een CVSS-score van 8,8. Deze kwetsbaarheid stelt aanvallers in staat om bestandsnamen of paden in WebDAV-implementaties te controleren, waardoor zij willekeurige code op afstand kunnen uitvoeren op getroffen systemen zonder authenticatie vereist.
Het probleem bevindt zich in de manier waarop WebDAV bestands- en padoperaties afhandelt, waardoor aanvallers deze elementen kunnen manipuleren om code-uitvoering te bereiken.
Kritieke kwetsbaarheden in Microsoft Office-producten
CVE-2025-47162, CVE-2025-47164, CVE-2025-47167 en CVE-2025-47953 zijn alle kritieke kwetsbaarheden in Microsoft Office, alle met een CVSS-score van 8,4 en met vergelijkbare uitbuitingskenmerken. Deze kwetsbaarheden stellen aanvallers in staat om op afstand kwaadaardige code uit te voeren via lokaal geactiveerde exploits zonder privileges of gebruikersinteractie te vereisen.
Probleem
Microsoft’s kritieke beveiligingsupdates van juni 2025 dwingen systeembeheerders tot een gevaarlijke afweging tussen netwerkstabiliteit en kwetsbaarheidsmanagement. Het bedrijf heeft bevestigd dat één patch, uitgebracht op 10 juni, de Dynamic Host Configuration Protocol (DHCP)-service op meerdere versies van Windows Server verstoort – een kernfunctie die automatisch IP-adressen toewijst aan netwerkapparaten.
De storing kan wijdverspreide connectiviteitsverlies veroorzaken omdat clients hun IP-adressen niet kunnen vernieuwen. In een officieel ondersteuningsdocument erkende Microsoft dat het probleem Windows Server 2016 tot en met de aankomende 2025-editie beïnvloedt. Zonder onmiddellijke oplossing beschikbaar, is de enige huidige uitweg het deïnstalleren van het volledige beveiligingspakket, waardoor servers blootgesteld worden aan een reeks ernstige kwetsbaarheden, waaronder één die al actief wordt uitgebuit.
Lees meer op https://www.theregister.com/2025/06/10/microsoft_patch_tuesday_june/
