Microsoft выпустила 130 исправлений в рамках июльского 2025 Patch Tuesday, включая 10 критических уязвимостей. Впервые за год обновления не содержат фиксов для эксплуатируемых zero-day. Дополнительно закрыты 10 уязвимостей в сторонних продуктах: Visual Studio, AMD и Chromium-based Edge.
Публично известная уязвимость CVE-2025-49719 в SQL Server (CVSS 7.5) позволяла злоумышленникам читать неинициализированную память. Адам Барнетт из Rapid7 предупреждает: «Утечка криптографических ключей или учетных данных возможна при целенаправленной атаке». Майк Уолтерс из Action1 связывает проблему с ошибками валидации в компонентах SQL Server и OLE DB.
Критическая RCE-уязвимость CVE-2025-47981 (CVSS 9.8) в механизме SPNEGO NEGOEX использует переполнение буфера. Обнаруженная исследователями Yuki Chen и анонимом, она затрагивает Windows 10 (v1607+). Бенджамин Харрис из watchTowr отмечает: «Риск самораспространяющегося ПО, подобного WannaCry, реален. Включенная по умолчанию политика PKU2U упрощает эксплуатацию».
Среди других опасных RCE:
Пять уязвимостей обхода BitLocker (например, CVE-2025-48804) требуют физического доступа. Джейкоб Ашдаун из Immersive поясняет: «Загрузка файла WinRE.wim при разблокированном диске открывает данные. Критично для утерянных устройств». Исследователи Microsoft MORSE Нетанель Бен Симон и Алон Левиев подтвердили риски.
8 июля 2025 прекращена поддержка SQL Server 2012. Программа Extended Security Updates (ESU) завершена — дальнейшие патчи не предусмотрены.
Саднам Наранг из Tenable подчеркивает исторический контекст: «Июль прервал 11-месячную серию — с августа 2024 каждый Patch Tuesday включал фиксы для эксплуатируемых zero-day».
Изображение носит иллюстративный характер
Публично известная уязвимость CVE-2025-49719 в SQL Server (CVSS 7.5) позволяла злоумышленникам читать неинициализированную память. Адам Барнетт из Rapid7 предупреждает: «Утечка криптографических ключей или учетных данных возможна при целенаправленной атаке». Майк Уолтерс из Action1 связывает проблему с ошибками валидации в компонентах SQL Server и OLE DB.
Критическая RCE-уязвимость CVE-2025-47981 (CVSS 9.8) в механизме SPNEGO NEGOEX использует переполнение буфера. Обнаруженная исследователями Yuki Chen и анонимом, она затрагивает Windows 10 (v1607+). Бенджамин Харрис из watchTowr отмечает: «Риск самораспространяющегося ПО, подобного WannaCry, реален. Включенная по умолчанию политика PKU2U упрощает эксплуатацию».
Среди других опасных RCE:
- CVE-2025-49735 в Windows KDC Proxy (CVSS 8.1). Бен Маккарти из Immersive указывает на интерес APT-групп: «Хотя атака требует победы в race condition, инструментарий может повысить надежность».
- CVE-2025-48822 в Hyper-V (CVSS 8.6).
- Три уязвимости в Microsoft Office (CVE-2025-49695/6/7, CVSS 8.4).
Пять уязвимостей обхода BitLocker (например, CVE-2025-48804) требуют физического доступа. Джейкоб Ашдаун из Immersive поясняет: «Загрузка файла WinRE.wim при разблокированном диске открывает данные. Критично для утерянных устройств». Исследователи Microsoft MORSE Нетанель Бен Симон и Алон Левиев подтвердили риски.
8 июля 2025 прекращена поддержка SQL Server 2012. Программа Extended Security Updates (ESU) завершена — дальнейшие патчи не предусмотрены.
Саднам Наранг из Tenable подчеркивает исторический контекст: «Июль прервал 11-месячную серию — с августа 2024 каждый Patch Tuesday включал фиксы для эксплуатируемых zero-day».
