微软7月补丁星期二值得关注的漏洞
原文链接: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247523530&idx=1&sn=df2ccc1c3c4a214c1b1a95b51694da62
微软7月补丁星期二值得关注的漏洞
综合编译 代码卫士 2025-07-09 10:21
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
微软本月共修复130个漏洞,加上月初的第三方CVE漏洞,共计修复140个漏洞。其中10个是“严重”级别,其余是“重要”级别。7月似乎越来越成为补丁发布更多的月份,但原因尚不明朗,或许微软希望在8月初黑帽大会和 DEFCON 大会举行之前修复尽可能多的漏洞,也可能与微软的测试周期有关,这种趋势或许只是一种巧合。
微软将其中一个漏洞列为“公开已知”状态,但并未提到任何遭活跃利用的漏洞。
值得关注的漏洞
CVE-2025-49719
是公开已知的漏洞,位于微软 SQL Server 中的信息泄露漏洞,可导致远程未认证攻击者访问未初始化内存中的数据。微软解释称,“SQL Server 中的输入验证不当漏洞可导致越权攻击者通过网络泄露信息。”管理员可安装最新微软 SQL Server 版本并安装 Microsoft OLE DB Driver 18或19。
CVE-2025-47981
是位于 SPNEGO Extended Negotiation (NEGOEX) 安全机制中的远程代码执行漏洞。该基于堆的缓冲溢出漏洞影响 Windows SPNEGO Extended Negotiation 组件,可导致远程未认证攻击者仅通过向受影响系统发送恶意消息的方式,执行代码。由于无需用户交互以及代码以提升后的权限执行,因此该漏洞是可蠕虫漏洞。微软也给出了最高等级的利用指数评级,这意味着微软认为攻击会在30天内发生,因此用户应立即进行测试并部署补丁。
CVE-2025-49717
是位于微软 SQL Server 中的远程代码执行漏洞。攻击者只需在受影响的 SQL Server 系统上执行恶意查询即可导致代码执行后果,他们还能逃逸 SQL Server上下文并在主机本身执行代码。部署该补丁并非易事。如用户在受影响系统上运行的是自己的应用(或者是受影响的第三方应用),那么需要更新应用,使用微软 OLE DB Driver 18或19。该安全公告提供了完整详情,因此需认真阅读,确保已采取所有措施完全修复该漏洞。
CVE-2025-49704
是位于微软 SharePoint 中的远程代码执行漏洞。该漏洞源自柏林Pwn2Own 大赛,当时研究员通过该漏洞利用 SharePoint 并获得10万美元的赏金。该漏洞可导致通过网络注入代码,需要一定程度的认证。然而在Pwn2Own 大赛上,研究人员组合利用一个认证绕过漏洞规避了这一要求,这说明认证本身并无法抵御攻击。
CVE-2025-49695
是位于微软 Office 中的远程代码执行漏洞。该漏洞是本次发布中的四个严重Office 漏洞之一,而这四个漏洞均将预览窗格列为攻击向量。这是微软连续三个月修复严重级别恶 Office 漏洞,这一趋势令人担忧,这说明要么还会有大量漏洞等待发现,要么这些补丁可被轻松绕过。不管是哪种情况,Mac 用户要引起重视了,因为微软 Office LTSC 的Mac 2021和2024版还未发布。或许用户应当在微软最终确定问题之前先考虑禁用预览窗格。
代码卫士试用地址:
https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
原文链接
https://www.zerodayinitiative.com/blog/2025/7/8/the-july-2025-security-update-review
https://www.bleepingcomputer.com/news/microsoft/microsoft-july-2025-patch-tuesday-fixes-one-zero-day-137-flaws/
题图:
Pixabay Licen
se
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “
在看
” 或 “
赞
” 吧~