微软补丁星期二，2025年7月版

2025年7月8日，微软发布了更新，修复了其Windows操作系统和支持软件中至少137个安全漏洞。本月解决的漏洞中，没有已知被主动利用的弱点，但其中14个漏洞被微软评为最严重的“关键”级别，这意味着攻击者可以在用户很少或没有帮助的情况下利用这些漏洞控制易受攻击的Windows PC。

虽然未列为关键漏洞，但CVE-2025-49719是一个公开披露的信息泄露漏洞，所有版本（包括SQL Server 2016）都收到了补丁。微软认为CVE-2025-49719被利用的可能性较低，但该漏洞的概念验证代码可用，意味着受影响的企业应优先安装此补丁。

Action1联合创始人Mike Walters表示，CVE-2025-49719可以在无需身份验证的情况下被利用，许多第三方应用程序依赖于SQL Server和受影响的驱动程序，这可能引入超出直接SQL Server用户的供应链风险。

“敏感信息的潜在暴露使得处理有价值或受监管数据的组织高度关注此漏洞，”Walters说。“受影响版本的广泛性，涵盖从2016年到2022年的多个SQL Server版本，表明SQL Server在内存管理和输入验证方面存在根本问题。”

Rapid7的Adam Barnett指出，今天是SQL Server 2012的终点，意味着即使您愿意付费，微软也不会再为其提供安全补丁，即使是关键漏洞。

Barnett还提醒关注CVE-2025-47981，该漏洞的CVSS评分为9.8（最高为10），是Windows服务器和客户端协商发现相互支持的身份验证机制方式中的远程代码执行错误。此预身份验证漏洞影响任何运行Windows 10 1607或更高版本的Windows客户端机器，以及所有当前版本的Windows Server。微软认为攻击者更有可能利用此漏洞。

微软还修复了Office中至少四个关键的远程代码执行漏洞（CVE-2025-49695、CVE-2025-49696、CVE-2025-49697、CVE-2025-49702）。前两个被微软评为具有较高利用可能性，不需要用户交互，并可以通过预览窗格触发。

另外两个高严重性漏洞包括CVE-2025-49740（CVSS 8.8）和CVE-2025-47178（CVSS 8.0）；前者是一个弱点，可能允许恶意文件绕过Microsoft Defender SmartScreen的筛选，这是Windows的内置功能，用于阻止不受信任的下载和恶意网站。

CVE-2025-47178涉及Microsoft Configuration Manager中的远程代码执行漏洞，这是一个用于管理、部署和保护网络中计算机、服务器和设备的企业工具。Immersive的Ben Hopkins表示，此漏洞利用所需的权限非常低，具有只读访问角色的用户或攻击者都有可能利用它。

“利用此漏洞允许攻击者以特权SMS服务账户身份在Microsoft Configuration Manager中执行任意SQL查询，”Hopkins说。“此访问可用于操纵部署、向所有托管设备推送恶意软件或脚本、更改配置、窃取敏感数据，并可能在整个企业中升级到完整的操作系统代码执行，使攻击者广泛控制整个IT环境。”

此外，Adobe发布了广泛软件的安全更新，包括After Effects、Adobe Audition、Illustrator、FrameMaker和ColdFusion。

SANS Internet Storm Center提供了每个单独补丁的细分，按严重性索引。如果您负责管理多个Windows系统，可能值得关注AskWoody以获取任何可能不稳定的更新的详细信息（考虑到本月解决的大量漏洞和Windows组件）。

如果您是Windows家庭用户，请在安装任何补丁之前考虑备份数据和/或驱动器，并在遇到这些更新的任何问题时在评论中留言。