2025年7月补丁星期二

微软解决了130个新CVE，其中包括一个公开披露的漏洞。微软评定了14个严重级别的CVE，影响Windows操作系统、Office、SharePoint和SQL。

谷歌Chrome于6月30日发布了对零日漏洞的修复。确保您的Google Chrome和Microsoft Edge更新已应用是第三方更新的优先事项。

详细内容

7月补丁星期二规模较大，但没有重大安全风险。微软解决了130个新CVE，包括一个公开披露的漏洞。还有来自MITRE的七个额外CVE，涉及Git中的漏洞，通过本月的Visual Studio更新解决。

2025年6月更新引起的DHCP问题似乎已解决。Windows OS KBs未报告为已知问题，通过Gemini的一些快速查询也同意该问题似乎已解决。

Gemini对查询的回应如下：

7月更新服务器DHCP问题已解决 是的，根据2025年7月8日的信息，微软已解决了由2025年6月安全更新引起的DHCP服务器问题。

关键点：

• 2025年6月更新引起了问题：微软的2025年6月补丁星期二更新引入了一个错误，可能导致Windows Server 2016至2025上的DHCP服务冻结或停止响应
• 7月更新中发布了修复：微软于2025年7月8日发布了Windows更新及后续更新来解决此问题
• 修复前的工作区：在7月更新可用之前，推荐的工作区是卸载受影响的6月更新并重新启动服务器，但这会使系统容易受到这些更新中修补的安全威胁

本月的Windows Server OS更新解决了Windows路由和远程访问服务（RRAS）中的16个CVE。这些漏洞可能允许未经身份验证的攻击者说服用户发起与恶意服务器的连接，从而执行任意代码。攻击不需要特权，可以通过网络利用。应用操作系统更新是最佳解决方案，但额外的缓解措施（如将RRAS端口限制到受信任网络或VPN集中器）可以限制暴露，以及采用防火墙规则和禁用未使用的RRAS功能。

开发人员本月需要做一些工作。微软解决了Git中的七个CVE和另外两个需要本月Visual Studio更新的CVE。

微软公开披露的漏洞

微软解决了Microsoft SQL中的信息泄露（CVE-2025-49719），微软已确认该漏洞已公开披露。微软将该CVE评为重要级别，CVSS v3.1得分为7.5。代码成熟度未经证实，表明没有代码样本。基于风险的优先级方法应将其视为重要。

第三方漏洞

谷歌Chrome于6月30日解决了他们的第四个零日漏洞利用，因此从基于风险的优先级角度来看，Chrome和Edge更新在补丁星期二之前成为焦点。CVE-2025-6554在Windows版本138.9.7204.96/.97、Mac版本138.0.7204.92/.93和Linux版本138.0.7204.92中解决，他们表示将在未来几天/周内推出。

Ivanti安全公告

Ivanti为7月补丁星期二发布了三个更新，共解决了11个CVE。受影响的产品包括Ivanti Connect Secure和Policy Secure、Ivanti EPMM和Ivanti EPM。

有关更多详细信息，您可以在Ivanti博客上查看7月安全更新中提供的更新和信息。

7月更新优先级

• Google Chrome和Microsoft Edge浏览器是本月的最高优先级。确保您已部署最新更新以解决6月30日发现的零日漏洞利用（CVE-2025-6554）
• Windows Server OS更新可能是本月最大的安全优先级，特别是对于那些在6月更新后遇到DHCP问题并不得不卸载6月更新的用户