关键要点
- 微软修复了130个新CVE漏洞,其中包括一个公开披露的漏洞
- 14个CVE被微软评为严重级别,影响Windows操作系统、Office、SharePoint和SQL
- Google Chrome于6月30日修复了一个零日漏洞,Google Chrome和Microsoft Edge更新应作为第三方更新的优先事项
7月补丁星期二概览
7月补丁星期二更新规模较大,但没有重大的安全风险。微软修复了130个新CVE漏洞,包括一个公开披露的漏洞。此外,还有7个来自MITRE的关于Git漏洞的CVE通过本月的Visual Studio更新得到解决。14个被微软评为严重的CVE影响了Windows操作系统、Office、SharePoint和SQL。
由2025年6月更新引起的DHCP问题似乎已得到解决。Windows操作系统KB中没有报告此问题为已知问题,通过Gemini的一些快速查询也确认该问题似乎已解决。
Gemini对查询的回复如下:
7月更新服务器DHCP问题已解决 是的,根据2025年7月8日的信息,微软已解决了由2025年6月安全更新引起的DHCP服务器问题。
关键点:
- 2025年6月更新导致问题:微软的2025年6月补丁星期二更新引入了一个错误,可能导致Windows Server 2016至2025上的DHCP服务冻结或停止响应
- 7月更新中发布的修复:微软于2025年7月8日发布了Windows更新及后续更新,解决了此问题
- 修复前的工作区:在7月更新可用之前,推荐的工作区是卸载受影响的6月更新并重新启动服务器,但这会使系统面临这些更新中修补的安全威胁
Windows服务器操作系统更新
本月的Windows服务器操作系统更新解决了Windows路由和远程访问服务(RRAS)中的16个CVE。这些漏洞可能允许未经身份验证的攻击者说服用户发起与恶意服务器的连接,从而允许他们执行任意代码。攻击不需要特权,并且可以通过网络进行利用。应用操作系统更新是最佳解决方案,但额外的缓解措施(如将RRAS端口限制为受信任网络或VPN集中器)可以限制暴露,同时还可以采用防火墙规则和禁用未使用的RRAS功能。
开发者相关更新
开发人员本月有一些工作要做。微软解决了Git中的7个CVE和另外2个需要本月Visual Studio更新的CVE。
微软公开披露的漏洞 微软解决了一个Microsoft SQL中的信息泄露漏洞(CVE-2025-49719),微软已确认此漏洞已公开披露。微软将此CVE评为重要,其CVSS v3.1得分为7.5。代码成熟度未经证实,这表明没有代码样本。基于风险的优先级排序方法应将其视为重要。
第三方漏洞
Google Chrome于6月30日解决了他们的第四个零日漏洞利用,因此从基于风险的优先级角度来看,Chrome和Edge更新在补丁星期二之前成为焦点。CVE-2025-6554在Windows的138.9.7204.96/.97版本、Mac的138.0.7204.92/.93版本和Linux的138.0.7204.92版本中得到解决,他们表示这些版本将在未来几天/几周内推出。
Ivanti安全公告
Ivanti为7月补丁星期二发布了三个更新,共解决了11个CVE。受影响的产品包括Ivanti Connect Secure和Policy Secure、Ivanti EPMM和Ivanti EPM。
有关更多详细信息,您可以在Ivanti博客上的7月安全更新中查看提供的信息。
7月更新优先级
-
Google Chrome和Microsoft Edge浏览器是本月的最高优先级。确保您已部署最新更新以解决6月30日识别的零日漏洞利用(CVE-2025-6554)
-
Windows服务器操作系统更新可能是本月最大的安全优先级,特别是对于那些在6月更新后遇到DHCP问题并不得不卸载6月更新的用户