微软今日发布月度安全更新，修复了Windows操作系统及配套软件中至少137个安全漏洞。本月修复的漏洞中尚未发现被主动利用的情况，但其中14个漏洞被微软评为最严重的"关键"级别——攻击者可在无需或仅需极少用户交互的情况下，利用这些漏洞完全控制存在漏洞的Windows系统。

虽然未被列为关键漏洞，但CVE-2025-49719是一个已公开披露的SQL Server信息泄露漏洞，影响范围涵盖自SQL Server 2016起的所有版本。微软评估该漏洞被利用可能性较低，但由于概念验证代码已存在，受影响企业应优先部署该补丁。Action1联合创始人Mike Walters指出，该漏洞可在无需认证的情况下被利用，且大量第三方应用依赖SQL Server及受影响驱动，可能引发供应链风险。

Rapid7的Adam Barnett特别提醒关注CVE-2025-47981漏洞（CVSS评分9.8/10），该漏洞存在于Windows服务器与客户端协商相互支持的身份验证机制过程中，影响所有运行Windows 10 1607及以上版本的客户端和当前所有Windows Server版本。微软认为该漏洞被攻击者利用的可能性较高。

微软还修复了Office中的四个关键远程代码执行漏洞（CVE-2025-49695至CVE-2025-49702），其中前两个漏洞可通过预览窗格触发且无需用户交互。此外，CVE-2025-49740漏洞（CVSS 8.8）可能允许恶意文件绕过Microsoft Defender SmartScreen的安全检查；CVE-2025-47178漏洞（CVSS 8.0）则影响微软配置管理器，Immersive公司的Ben Hopkins指出该漏洞仅需极低权限即可利用，攻击者可借此在企业IT环境中获得广泛控制权。

值得注意的是，SQL Server 2012于今日正式结束支持，意味着即使付费也将不再获得安全更新。Adobe同期也发布了After Effects、Audition等多款产品的安全更新。

安全专家建议企业管理员通过SANS互联网风暴中心按严重程度索引的补丁分析进行优先级排序，普通用户在安装更新前应做好数据备份。上月补丁引发的兼容性问题也提醒组织可考虑适当延迟部署非关键系统的更新。