W sumie Microsoft wypełnił 130 luk bezpieczeństwa (CVE) w swoich produktach w ramach lipcowego dnia łatania. Między innymi wpływa między innymi okna i powiązane komponenty Microsoft Office, .NET i Visual Studio, Azure, Microsoft Teams, Hyper-V, Bitlocker i Microsoft Edge. Kolejne dziesięć słabości pochodzi z produktów innych firm, zwiększając całkowitą liczbę przetworzonych CVE do 140.
Microsoft klasyfikuje dziesięć luk bezpieczeństwa jako klucz, a reszta jest ważna. Według Microsoftu słabość była publicznie znana w momencie publikacji, ale nic nie wskazywało na proaktywny atak.
Według inicjatywy Zero Day Analiza i opisJeden ze szczególnie istotnych słabości jest zidentyfikowany przez CVE-2025-47981. Można to znaleźć w obszarze komponentu Windows SPNEGO Extension Protocol i umożliwia zdalne projektowanie kodu bez interakcji użytkownika i zwiększonych uprawnień. Microsoft spodziewa się użycia tej słabości w ciągu 30 dni.
Kolejna luka kluczowa wpływa na Microsoft SQL Server (CVE-2025-49717). Ataki mogą wykonywać kod w systemie hosta za pomocą ukierunkowanych zapytań. W celu ochrony tej luki wymagana jest aktualizacja sterownika DB DB w wersji 18 lub 19.
Wspomniałem także o planie zerowym, słabości CVE-2015-49704 Microsoft SharePoint. Zostało to pierwotnie używane jako część konkursu PWN2OWN i można go było używać w połączeniu z innymi lukami do wykonywania kodu.
Microsoft Office również ma wpływ: cztery kluczowe luki (UA CVE-2025-49695) zezwala na ataki na widoki podglądu. Jak pisze plan zerowego dnia, nie ma jeszcze aktualizacji Mac Office LTSC.
Ponadto 14 słabości zostało skorygowanych w usługach routingu i zdalnego dostępu (RRAS). Dalsze luki wpływają na Vision Studios, Azure Monitors i Bitlocker. Bitlocker został kilkakrotnie dotknięty luką bezpieczeństwa w zakresie szyfrowania.
Ponadto poprawiono ponad 50 słabości, które mogą również naprawić rozszerzone prawa (podniesienie przywileju). Może to uzyskać prawa administracyjne lub dostęp na poziomie systemu.
Microsoft zapewnia również łatki dla różnych funkcji bezpieczeństwa, scenariuszy fałszowania, wycieku informacji i ataków usług. Niektóre łatki – szczególnie w komponentach Azure i SQL – wymagają ręcznych aktualizacji od użytkowników. Więcej informacji można wyraźnie przygotować Witryna inicjatywy zerowej dnia. (MW)
(TagStotranslate) System operacyjny T Oprogramowanie t System operacyjny T Oprogramowanie t Windows T aktualizacje i łatki
Source link
