وصله سه‌شنبه ماه ژوئن مایکروسافت بیش از ۷۰ آسیب پذیری، از جمله آسیب‌پذیری روز صفر، را برطرف نمود

بسته به‌روزرسانی سه‌شنبه ژوئن ۲۰۲۵ مایکروسافت، آسیب‌پذیری‌های بحرانی و نقص‌های روز صفر متعددی را برطرف نمود. با اصلاح بیش از ۷۰ آسیب‌پذیری مختلف، ضروری است تمامی کاربران مایکروسافت با این بسته به‌روزرسانی، دستگاه‌های خود را به‌روز نمایند.

پنج نقص روز صفر بهره‌برداری شده فعال وصله شدند. این موارد عبارتند از:

• CVE-2025-30400 (شدت مهم؛ CVSS 7.8): یک آسیب‌پذیری استفاده پس از آزادسازی که بر کتابخانه اصلی DWM مایکروسافت تأثیر می‌گذارد و منجر به افزایش دسترسی می گردد. بهره برداری از این آسیب‌پذیری می‌توانست دسترسی های SYSTEM را به یک مهاجم احراز هویت شده بدهد.

• CVE-2025-30397 (شدت مهم؛ CVSS 7.5): یک آسیب‌پذیری سردرگمی نوع در موتور اسکریپت مایکروسافت که می‌توانست امکان اجرای کد از راه دور را برای یک مهاجم احراز هویت نشده فراهم کند. بهره برداری از این نقص مستلزم ارسال یک URL دستکاری شده خاص توسط مهاجم بود که قربانی با استفاده از Edge در حالت Internet Explorer آن را باز می‌کرد.

• CVE-2025-32709 (شدت مهم؛ CVSS 7.8): آسیب‌پذیری استفاده پس از آزادسازی دیگری که درایور تابع کمکی ویندوز برای WinSock را تحت تأثیر قرار داد و به یک مهاجم احراز هویت شده ، امکان افزایش دسترسی (از جمله دسترسی های مدیر) را داد.
• CVE-2025-32701 (شدت مهم؛ CVSS 7.8): آسیب‌پذیری استفاده پس از آزادسازی در درایور سیستم فایل لاگ مشترک ویندوز، که به یک مهاجم احراز هویت شده، امکان افزایش دسترسی، از جمله دسترسی های SYSTEM، را می‌دهد.
• CVE-2025-32706 (شدت مهم؛ CVSS 7.8): آسیب‌پذیری افزایش دسترسی دیگر در درایور سیستم فایل لاگ مشترک ویندوز که به دلیل اعتبارسنجی نامناسب ورودی وجود داشت. بهره برداری از این نقص، دسترسی های SYSTEM را به یک مهاجم احراز هویت شده اعطا می‌کرد.

در کنار پنج آسیب‌پذیری روز صفر که به طور فعال مورد بهره برداری قرار گرفتند، مایکروسافت همچنین دو آسیب‌پذیری با شدت مهم دیگر را که قبل از رفع آسیب، عمومی شدند، برطرف نمود.این موارد  عبارتند از:

• CVE-2025-26685 (با شدت مهم؛ CVSS 6.8): یک مشکل احراز هویت نامناسب در مایکروسافت دیفندر برای هویت، که می‌توانست این امکان را به یک مهاجم احراز هویت نشده بدهد تا جعل هویت انجام دهد.

• CVE-2025-32702 (با شدت مهم؛ CVSS 7.8): یک آسیب‌پذیری تزریق دستور در Visual Studio که می‌توانست این امکان را به یک مهاجم احراز هویت نشده بدهد تا کدها را اجرا  نماید.

علاوه بر این، بسته به‌روزرسانی این ماه، 11 آسیب‌پذیری با شدت بحرانی را نیز برطرف نمود. این موارد شامل 6 آسیب‌پذیری اجرای کد از راه دور، 2 نقص افزایش دسترسی، 1 نقص اجازه جعل هویت و 1 نقص افشای اطلاعات می باشد. بقیه موارد شامل رفع مشکلات امنیتی برای 59 آسیب‌پذیری با شدت مهم، از جمله 7 مورد انکار سرویس، 15 آسیب‌پذیری افزایش دسترسی، 14 نقص افشای اطلاعات، 20 نقص اجرای کد از راه دور، 1 نقص جعل هویت و 2 آسیب‌پذیری دور زدن ویژگی امنیتی است. با توجه به اینکه این بسته به‌روزرسانی هیچ آسیب‌پذیری با شدت کم را برطرف نمی‌کند، یک به‌روزرسانی امنیتی حیاتی برای همه دستگاه‌های واجد شرایط می باشد. اگرچه مایکروسافت این به‌روزرسانی‌ها را به‌طور خودکار منتشر می‌کند، کاربران همچنان باید سیستم‌های خود را به‌صورت دستی برای هرگونه به‌روزرسانی بررسی کرده تا از دریافت به‌موقع همه وصله‌ها اطمینان حاصل شود. به‌ویژه، دستگاه‌هایی که در برابر نقص‌های روز صفر آسیب‌پذیر هستند، نیاز به توجه فوری برای جلوگیری از تهدیدات احتمالی دارند.

منبع:

https://latesthackingnews.com/2025/07/01/june-patch-tuesday-from-microsoft-fixed-70-bugs-including-a-zero-day