Microsoft 补丁 2025 年 7 月星期二版

快速阅读: 据《Krebs on Security （博客）》称，微软修复了Windows及软件中的137个漏洞，其中14个为关键漏洞。CVE-2025-49719是信息泄露漏洞，已公开PoC，需优先修补。其他漏洞涉及Office、SQL Server等，部分可远程执行代码，建议及时更新。

微软公司今日发布了更新，以修复其Windows操作系统及受支持软件中的至少137个安全漏洞。本月所修复的漏洞中，目前尚无已知被积极利用的情况，但其中有14个漏洞被评为微软最严重的“关键”等级，这意味着它们可能被用来在几乎没有用户帮助的情况下控制易受攻击的Windows电脑。

虽然未被列为关键，CVE-2025-49719是一个公开披露的信息泄露漏洞，所有版本，包括SQL Server 2016，均已获得补丁。微软将CVE-2025-49719评为不太可能被利用，但由于该漏洞的概念验证代码（PoC）已经公开，因此受影响的企业应优先应用此补丁。

Action1的联合创始人迈克·沃特尔斯表示，CVE-2025-49719可以在无需认证的情况下被利用，而且许多第三方应用程序依赖于SQL Server和受影响的驱动程序——这可能会引入供应链攻击的风险，超出直接SQL Server用户的范围。

沃特尔斯表示：“敏感信息的潜在泄露使这成为处理有价值或受监管数据的组织的高优先级问题。”“受影响版本的广泛性，涵盖从2016年到2022年的多个SQL Server版本，表明了SQL Server在内存管理和输入验证方面的根本性问题。”

Rapid7的亚当·巴内特指出，SQL Server 2012将不再获得后续安全补丁，即使你愿意支付微软费用。巴内特还提到了CVE-2025-47981，这是一个CVSS评分9.8（最高分10分）的漏洞，是Windows服务器和客户端在协商发现相互支持的身份验证机制时的一个远程代码执行漏洞。这个无需认证即可利用的漏洞影响任何运行Windows 10 1607或更高版本的Windows客户端机器，以及所有当前版本的Windows Server。微软认为该漏洞更可能被攻击者利用。

微软还修复了Office中的至少四个关键远程代码执行漏洞：CVE-2025-49695、CVE-2025-49696、CVE-2025-49697和CVE-2025-49702。前两个漏洞都被微软评为更容易被利用，无需用户操作，并且可以通过预览窗格（Preview Pane）触发。另外还有两个严重漏洞：CVE-2025-49740（CVSS 8.8）和CVE-2025-47178（CVSS 8.0）；前者是一种可能允许恶意文件绕过Microsoft Defender SmartScreen检测的漏洞，这是Windows内置的功能，旨在阻止不受信任的下载和恶意网站。

CVE-2025-47178涉及Microsoft配置管理器（Microsoft Configuration Manager）中的远程代码执行漏洞，这是一个用于管理、部署和保护网络中计算机、服务器和设备的企业工具。Immersive Labs的本·霍普金斯表示，利用这个漏洞只需要非常低的权限，并且拥有只读访问权限的用户或攻击者可以利用它。

霍普金斯表示：“利用这个漏洞可以让攻击者以具有特权的系统管理服务（SMS）账户身份在Microsoft配置管理器中执行任意SQL查询。这种访问可以用来修改部署，向所有管理设备推送恶意软件或脚本，更改配置，窃取敏感数据，并可能提升至完整的操作系统代码执行，使攻击者能够全面控制整个IT环境。”

此外，Adobe已为其一系列软件发布了安全更新，包括After Effects、Adobe Audition、Illustrator、FrameMaker和ColdFusion。SANS Internet Storm Center对每个单独的补丁进行了详细分析，按严重程度进行索引。

鉴于本月修复的漏洞和Windows组件数量众多，如果你负责管理多个Windows系统，关注AskWoody网站以获取相关更新信息可能会有所帮助。如果你是Windows家庭用户，请考虑在安装任何补丁之前备份你的数据和硬盘，并在评论中反馈，如果你遇到这些更新的问题。

(以上内容均由Ai生成)