Microsoft 66 ta xatoni tuzatdi, jumladan faol zero-day
1
22
0
2025-yil iyun oyi Patch Tuesday yangilanishi 66 ta xatolikni tuzatdi, jumladan WebDAVdagi zero-day muammosini ham. Faol tahdidlarni to‘sish uchun Windows, Office va boshqa dasturlarni darhol yangilang.
Microsoftning Iyun oyi "Patch Tuesday" yangilanishi nashr qilindi, bu safar kompaniya mahsulotlarida aniqlangan 66 ta zaifliklarga xavfsizlik tuzatmalarini keltirdi. Tuzatilgan xatoliklardan biri allaqachon real hujumlarda eksploit qilingan bo‘lib, bu oyning yangilanishlarini korxonalar va oddiy foydalanuvchilar uchun ayniqsa muhim qiladi.
Faol eksploit qilingan Zero-Day
Muhim tuzatmalardan biri CVE-2025-33053 raqamli zaiflikni bartaraf etadi — bu Windowsdagi WebDAV komponentidagi muammo. Bu zaiflik hujumchilarga to‘g‘ri eksploit qilingan taqdirda masofadan turib kod bajarish imkonini beradi. Ushbu zaiflik bugungi tuzatma chiqarilishidan oldin ham hujumlarda ishlatilganligi sababli, u "zero-day" toifasiga kiradi.
WebDAV zaifligi Windows 10 va Windows 11 hamda tegishli server talqinlariga ta’sir qiladi. Microsoft hujumlar tafsilotlarini to‘liq oshkor qilmagan bo‘lsa-da, mutaxassislar bu xatolik haqiqatda "yovvoyi sharoitda" ishlatilganini tasdiqlashgan.
10 ta muhim zaiflik tuzatildi
Zero-daydan tashqari, Microsoft yana 10 ta "Tanqidga loyiq" deb baholangan zaifliklarni tuzatdi. Bunday zaifliklar odatda foydalanuvchining katta aralashuvisiz masofaviy kod bajarish yoki imtiyoz oshirish imkonini beradi. Bular orasida Microsoft Office dasturidagi to‘rtta zaiflik ham bor — bu dastur elektron pochta orqali zararli hujjatlar yuborishni maqsad qilgan hujumchilar uchun doimiy nishon hisoblanadi.
Tuzatishlar kiritilgan boshqa mahsulotlar qatoriga Microsoft Edge, Power Automate, .NET va Windowsning o‘z komponentlari ham kiradi. Bu muammolarning hech biri faol eksploit qilingan deb xabar qilinmagan bo‘lsa-da, bir nechtasi yaqin kelajakda hujumchilarning e’tiborida bo‘lishi mumkin deb baholangan.
Windows yangilanish tafsilotlari
Yangilangan paketlar hozirda mavjud va quyidagilarni o‘z ichiga oladi:
✅ Windows 11: KB5060842 (22H2 va 23H2)
✅ Windows 10: KB5060533 va KB5060999
✅ Windows Server talqinlari: Shuningdek yangilangan, foydalanilayotgan talqinga qarab farq qiladi.
Ma'murlar yangilanishlar qanday tarqatilayotganini tekshirib, tizimlarida moslik bilan bog‘liq muammolar bo‘lish ehtimolini baholashlari kerak.
Nega bu yangilanish muhim?
CVE-2025-33053 zaifligining tez eksploit qilinishi yana bir bor ko‘rsatdiki, yangi zaifliklar e’lon qilingach, hujumchilar juda tez harakatga o‘tishadi. Zero-day zaifliklar ko‘pincha sarlavhalarda tilga olinadi, biroq boshqa tuzatmalarni ham e’tiborsiz qoldirib bo‘lmaydi. Bu oyning bir nechta xatolari internetga ochiq bo‘lgan yoki korxona muhitlarida tez-tez ishlatiladigan komponentlarga taalluqli.
Patchlarni kechiktirayotgan kompaniyalar nafaqat ma’lumot o‘g‘irlanishiga, balki bugungi kunda tuzatilgan xatolardan boshlanib ketadigan ransomware hujumlaridan tiklanish xarajatlariga ham duch kelishadi.
Nik Karol, Nightwingdagi kiber voqealarga javob berish bo‘yicha boshqaruvchi (ilgari RTX tarkibida bo‘lgan josuslik yechimlari kompaniyasi), Patch Tuesday haqida quyidagicha fikr bildirdi:“Windows Common Log File Systemda (CVE-2025-32701 va CVE-2025-32706) bir nechta zaifliklar mavjud bo‘lib, ular "Priv Esc" — ya’ni imtiyoz oshirish bilan bog‘liq zaifliklardir. Ular muhim deb hisoblanmaydi, shuning uchun ba’zi tashkilotlar ularni kerakli darajada tez hal qilmaydi. Odatda ko‘proq e’tiborni jalb qiladigan narsalarga qarasangiz, tan olingan zaifliklar har doim e’tiborni tortadi,” — deydi Nik.
“Lekin biz Windows Log File osttizimi eksploit qilinayotgan real hujumlarni doimiy ko‘rib turamiz. Aslida, Nightwing Windows Common Log File Systemda amalga oshirilgan hujumlarga qarshi mudofaa qurgan edi. Bu hujumlar yaqinda tuzatilgan CVE-2025-29824 zaifligiga bog‘liq bo‘lib, muhaddidlar eksploitni Living-off-the-Land (LOTL) taktikalari bilan birgalikda amalga oshirishgan,” — deya qo‘shimcha qildi u.
Hozir nima qilish kerak?
✅ Iloji boricha tezroq iyun oyi uchun mavjud barcha yangilanishlarni o‘rnating, ayniqsa WebDAV tizimlaridan foydalanuvchi tizimlarda.
✅ Office fayllarini boshqarish siyosatlaringizni ko‘rib chiqing, ayniqsa foydalanuvchilar tashkilotdan tashqarida hujjatlarni tez-tez qabul qilsa.
✅ Tarmoq trafigini kuzating, WebDAV yoki boshqa patchlangan xizmatlar bilan bog‘liq shubhali faollik belgilari uchun.
✅ Staging muhitlarini sinovdan o‘tkazing, butun kompaniya bo‘ylab yangilanishlarni joriy etishdan oldin, ayniqsa eski yoki moslashtirilgan dasturiy ta’minot to‘plamlari ishlatilayotgan muhitlarda.
Microsoftning to‘liq xavfsizlik tavsiyalarini uning rasmiy xavfsizlik yangilanishi qo‘llanmasida topish mumkin. Tezkor yangilash — ko‘plab kiberhujumlarga qarshi eng oddiy va samarali himoyalardan biridir.
