微软补丁星期二,2025年7月 - SANS互联网风暴中心
值班处理员: Guy Bruneau
威胁等级: 绿色
我的下一堂课: 应用安全:保护Web应用、API和微服务
地点: 华盛顿
时间: 2025年7月14日 - 7月19日
微软补丁星期二,2025年7月
发布时间: 2025-07-08
最后更新: 2025-07-08 18:24:33 UTC
作者: Johannes Ullrich(版本:1)
0条评论
今天,微软发布了130个微软漏洞的补丁,以及9个不属于微软产品组合但由微软分发的额外漏洞。其中14个被评为关键漏洞。只有一个漏洞在修补前被公开披露,目前没有任何漏洞被利用。
值得注意的漏洞:
CVE-2025-49695和CVE-2025-49696: 这两个漏洞影响Microsoft Office,被评为关键漏洞,并被微软认为"更可能"被利用。这些问题不需要用户交互,因此用户无需打开文档。漏洞可能通过预览窗格触发。Mac也受到影响,但目前仅Windows有补丁。
CVE-2025-49719: 此漏洞已被公开披露。它允许在Microsoft SQL Server上进行信息泄露。要修补,必须修补OLE DB驱动程序。
CVE-2025-49717: 此漏洞被利用的可能性较低。但如果被利用,它将允许通过Microsoft SQL Server执行代码。将此作为不暴露SQL服务器的额外动机。
CVE-2025-49704: 我认为这个漏洞很有趣,因为它似乎允许在SharePoint中进行命令/代码注入。然而,攻击者必须经过身份验证才能利用此漏洞。
漏洞描述表
| 描述 | CVE | 披露 | 利用 | 可利用性(旧版本) | 当前版本 | 严重性 | CVSS基础(平均) | CVSS时间(平均) |
|---|---|---|---|---|---|---|---|---|
| AMD: CVE-2024-36350 存储队列中的瞬态调度器攻击 | CVE-2025-36350 | 否 | 否 | - | 可能性较低 | 关键 | 5.6 | 4.9 |
| AMD: CVE-2025-36357 L1数据队列中的瞬态调度器攻击 | CVE-2025-36357 | 否 | 否 | - | 可能性较低 | 关键 | 5.6 | 4.9 |
| Azure Monitor Agent 远程代码执行漏洞 | CVE-2025-47988 | 否 | 否 | - | 可能性较低 | 重要 | 7.5 | 6.5 |
| …(后续漏洞列表保持不变)… |
Johannes B. Ullrich, Ph.D., SANS.edu研究院长
Twitter|
关键词: microsoft patches
0条评论
我的下一堂课: 应用安全:保护Web应用、API和微服务
地点: 华盛顿
时间: 2025年7月14日 - 7月19日
评论
在此登录加入讨论。
页面顶部