微软2025年7月补丁星期二：修复137个安全漏洞，含14个关键漏洞

微软今日发布更新，修复了其Windows操作系统及支持软件中至少137个安全漏洞。本月解决的漏洞均未被发现存在主动利用，但其中14个漏洞被微软评为最严重的“关键”级别，这意味着攻击者可在用户极少或无需协助的情况下利用这些漏洞控制易受攻击的Windows PC。

虽未列为关键漏洞，CVE-2025-49719是一个公开披露的信息泄露漏洞，所有版本（回溯至SQL Server 2016）均需安装补丁。微软评估CVE-2025-49719被利用的可能性较低，但该漏洞存在概念验证代码，意味着受影响企业应优先部署补丁。

Action1联合创始人Mike Walters表示，CVE-2025-49719可在无需认证的情况下被利用，且许多第三方应用依赖SQL Server及受影响驱动——这可能引发超出直接SQL Server用户范围的供应链风险。“敏感信息可能暴露，使处理有价值或受监管数据的组织面临高优先级威胁，”Walters说，“受影响版本涵盖2016至2022年多个SQL Server版本，表明SQL Server在内存管理和输入验证方面存在根本问题。”

Rapid7的Adam Barnett指出，今日是SQL Server 2012的支持终止日，这意味着即使您愿意向微软付费，也不会再获得针对关键漏洞的安全补丁。Barnett还提醒关注CVE-2025-47981，该漏洞CVSS评分为9.8（最高为10），是Windows服务器与客户端协商发现互支持认证机制时的远程代码执行漏洞。此认证前漏洞影响所有运行Windows 10 1607或更高版本的Windows客户端机器，以及所有当前版本的Windows Server。微软认为攻击者较可能利用此漏洞。

微软还修复了Office中至少四个关键远程代码执行漏洞（CVE-2025-49695、CVE-2025-49696、CVE-2025-49697、CVE-2025-49702）。前两个被微软评为具有较高利用可能性，无需用户交互，且可通过预览窗格触发。

另外两个高严重性漏洞包括CVE-2025-49740（CVSS 8.8）和CVE-2025-47178（CVSS 8.0）；前者可能导致恶意文件绕过Microsoft Defender SmartScreen的筛查，该功能是Windows内置特性，用于阻止不可信下载和恶意网站。

CVE-2025-47178涉及Microsoft Configuration Manager中的远程代码执行漏洞，该工具是企业用于管理、部署和保护网络中计算机、服务器及设备的工具。Immersive的Ben Hopkins表示，此漏洞利用所需权限极低，具有只读访问角色的用户或攻击者均可能利用。“利用此漏洞可使攻击者以特权SMS服务账户身份在Microsoft Configuration Manager中执行任意SQL查询，”Hopkins说，“此访问权限可用于操纵部署、向所有托管设备推送恶意软件或脚本、更改配置、窃取敏感数据，并可能升级至全企业操作系统代码执行，使攻击者获得对整个IT环境的广泛控制。”

此外，Adobe已发布针对多款软件的安全更新，包括After Effects、Adobe Audition、Illustrator、FrameMaker和ColdFusion。

SANS Internet Storm Center提供了按严重性索引的每个补丁明细。如果您负责管理多台Windows系统，可能值得关注AskWoody以获取任何潜在问题更新的详情（考虑到本月修复的大量漏洞和Windows组件）。

如果您是Windows家庭用户，请考虑在安装任何补丁前备份数据和/或驱动器，并在遇到更新问题时在评论区留言。
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
公众号二维码