微软今日发布了更新,修复了其Windows操作系统及其支持软件中至少 137 个安全漏洞。本月修复的漏洞均未被主动利用,但其中 14 个漏洞获得了微软最严重的“严重”评级,这意味着这些漏洞可能被利用来控制存在漏洞的 Windows PC,而无需用户提供任何帮助。
CVE-2025-49719虽然未被列为严重漏洞,但它是一个公开披露的信息泄露漏洞,最早可追溯到SQL Server 2016 的所有版本都已收到补丁。微软将 CVE-2025-49719 评为不太可能被利用,但由于该漏洞的概念验证代码已公开,受影响的企业可能应该优先考虑修复该漏洞。
Action1联合创始人Mike Walters表示,CVE-2025-49719 无需身份验证即可被利用,并且许多第三方应用程序依赖于 SQL Server 和受影响的驱动程序——这可能会带来超出直接 SQL Server 用户的供应链风险。
沃尔特斯表示:“敏感信息的潜在泄露,对于处理高价值或受监管数据的组织来说,是一个高度优先考虑的问题。受影响版本涵盖了从2016年到2022年的多个SQL Server版本,这表明SQL Server在内存管理和输入验证方面存在根本性问题。”
Rapid7的亚当·巴内特 (Adam Barnett)指出, SQL Server 2012如今走到了尽头,这意味着未来不会再有安全补丁,即使是针对严重漏洞,即使你愿意向微软支付费用,也不会有补丁。
Barnett 还提请关注CVE-2025-47981漏洞,该漏洞的 CVSS 评分为 9.8(10 为最高),是一个远程代码执行漏洞,存在于 Windows 服务器和客户端协商发现相互支持的身份验证机制的方式中。此预身份验证漏洞会影响所有运行Windows 10 1607或更高版本的 Windows 客户端计算机,以及所有当前版本的Windows Server 。微软认为攻击者更有可能利用此漏洞。
微软还修补了Office中至少四个严重的远程代码执行漏洞( CVE-2025-49695 、 CVE-2025-49696 、 CVE-2025-49697 、 CVE-2025-49702 )。前两个漏洞均被微软评定为极易被利用,无需用户交互,并且可以通过预览窗格触发。
另外两个高严重性漏洞包括CVE-2025-49740 (CVSS 8.8)和CVE-2025-47178 (CVSS 8.0);前者是一个弱点,可能允许恶意文件绕过Microsoft Defender SmartScreen的筛选,Microsoft Defender SmartScreen 是 Windows 的内置功能,旨在阻止不受信任的下载和恶意网站。
CVE-2025-47178 涉及Microsoft Configuration Manager 中的一个远程代码执行漏洞。Microsoft Configuration Manager是一款用于管理、部署和保护网络中计算机、服务器和设备的企业工具。Immersive Labs的Ben Hopkins表示,利用此漏洞只需极低的权限,具有只读访问权限的用户或攻击者也有可能利用它。
霍普金斯表示:“利用此漏洞,攻击者可以以 Microsoft 配置管理器中的特权 SMS 服务帐户身份执行任意 SQL 查询。此访问权限可用于操纵部署、将恶意软件或脚本推送到所有托管设备、更改配置、窃取敏感数据,并可能升级到在整个企业范围内执行完整的操作系统代码,从而使攻击者能够广泛控制整个 IT 环境。”
另外, Adobe还发布了针对多种软件的安全更新,包括After Effects 、 Adobe Audition 、 Illustrator 、 FrameMaker和ColdFusion 。
SANS 互联网风暴中心对每个补丁都进行了分类,并按严重程度进行了索引。如果您负责管理多个 Windows 系统,不妨关注AskWoody ,了解任何可能存在问题的更新(考虑到本月修复的漏洞和 Windows 组件数量众多)。
如果您是 Windows 家庭用户,请考虑在安装任何补丁之前备份您的数据和/或驱动器,如果您在使用这些更新时遇到任何问题,请在评论中留言。
原文: https://krebsonsecurity.com/2025/07/microsoft-patch-tuesday-july-2025-edition/