本月唯一的零日漏洞是 CVE-2025-33053，这是 WebDAV 的 Windows 实现中的远程代码执行缺陷，WebDAV 是一种 HTTP 扩展，允许用户远程管理服务器上的文件和目录。虽然 WebDAV 在 Windows 中默认不启用，但它在遗留或专用系统中的存在仍然使其成为一个相关的目标，Automox 的高级安全工程师 Seth Hoyt 说。

Rapid7 的首席软件工程师 Adam Barnett 表示，Microsoft 针对 CVE-2025-33053 的公告没有提到 WebDAV 的 Windows 实现自 2023 年 11 月以来被列为已弃用，这实际上意味着 WebClient 服务不再默认启动。

“该公告还将攻击复杂性设置为较低，这意味着利用不需要以攻击者无法控制的任何方式准备目标环境，”Barnett 说。“漏洞利用依赖于用户点击恶意链接。目前尚不清楚如果服务未运行，资产将如何立即受到攻击，但所有版本的 Windows 都会收到补丁，包括自 WebClient 弃用后发布的补丁，如 Server 2025 和 Windows 11 24H2。

Microsoft 警告说，鉴于此错误的概念验证代码现已公开，因此可能会利用 Windows Server 消息块 （SMB） 客户端 （CVE-2025-33073） 中的“特权提升”漏洞。CVE-2025-33073 的 CVSS 风险评分为 8.8（满分 10 分），利用该漏洞可导致攻击者获得对易受攻击的 PC 的“系统”级别控制权。

“使这特别危险的是，在初始连接后不需要进一步的用户交互——攻击者通常会在用户没有意识到的情况下触发，”Action1 的联合创始人兼首席执行官 Alex Vovk 说。“鉴于高权限级别和易利用性，此缺陷对 Windows 环境构成重大风险。受影响系统的范围很广，因为 SMB 是用于文件和打印机共享以及进程间通信的核心 Windows 协议。

除了这些亮点之外，本月修复的漏洞中有 10 个被 Microsoft 评为“严重”，包括 8 个远程代码执行缺陷。

值得注意的是，本月的补丁批次中没有修复 Windows Server 2025 中新发现的漏洞，该漏洞允许攻击者以 Active Directory 中任何用户的权限进行作。这个被称为“BadSuccessor”的错误由 Akamai 的研究人员于 5 月 21 日公开披露，现在有几个公开的概念验证可用。Tenable 的 Satnam Narang 表示，至少拥有一个 Windows Server 2025 域控制器的组织应审查委托人的权限，并尽可能限制这些权限。

Adobe 已发布 Acrobat Reader 和其他六款产品的更新，解决了至少 259 个漏洞，其中大多数漏洞位于 Experience Manager 的更新中。Mozilla Firefox 和 Google Chrome 最近都发布了需要重新启动浏览器才能生效的安全更新。最新的 Chrome 更新修复了浏览器中的两个零日漏洞（CVE-2025-5419 和 CVE-2025-4664）。