2025年7月补丁星期二
最后更新:2025年7月8日
作者:Chris Goettl
标签:补丁星期二、补丁管理、安全
关键要点
- 微软修复了130个新CVE,其中包括一个公开披露的漏洞。14个CVE被微软评为严重级别,影响Windows操作系统、Office、SharePoint和SQL。
- 谷歌Chrome于6月30日发布了一个零日漏洞的修复程序。确保应用Google Chrome和Microsoft Edge更新是第三方更新的优先事项。
详细内容
7月的补丁星期二规模较大,但没有重大的安全风险。微软解决了130个新CVE,包括一个公开披露的漏洞。本月通过Visual Studio更新还解决了MITRE关于Git漏洞的七个额外CVE。14个CVE被微软评为严重级别,影响Windows操作系统、Office、SharePoint和SQL。
由2025年6月更新引起的DHCP问题似乎已得到解决。它没有被报告为Windows OS KB的已知问题,通过Gemini的一些快速查询也同意该问题似乎已解决。
Gemini对查询的回应如下:
7月更新服务器DHCP问题已解决
是的,根据2025年7月8日的信息,微软已解决了由2025年6月安全更新引起的DHCP服务器问题。
关键点:
- 2025年6月更新导致了问题:微软的2025年6月补丁星期二更新引入了一个错误,可能导致Windows Server 2016至2025上的DHCP服务冻结或停止响应。此问题阻止了一些客户端续订其IP地址。
- 7月更新中发布了修复程序:微软于2025年7月8日发布了Windows更新及后续更新,解决了此问题。
- 修复前的临时解决方案:在7月更新可用之前,推荐的临时解决方案是卸载受影响的6月更新并重新启动服务器,但这会使系统容易受到这些更新中修补的安全威胁。
本月的Windows Server OS更新解决了Windows路由和远程访问服务(RRAS)中的16个CVE。这些漏洞可能允许未经身份验证的攻击者说服用户启动与恶意服务器的连接,从而允许他们执行任意代码。攻击将不需要特权,并可以通过网络进行利用。应用操作系统更新是最佳解决方案,但额外的缓解措施(如将RRAS端口限制到受信任的网络或VPN集中器)可以限制暴露,以及采用防火墙规则和禁用未使用的RRAS功能。
开发人员本月有一些工作要做。微软解决了Git中的七个CVE和另外两个需要本月Visual Studio更新的CVE。
微软公开披露的漏洞
微软解决了一个Microsoft SQL中的信息泄露漏洞(CVE-2025-49719),微软已确认该漏洞被公开披露。微软将该CVE评为重要级别,其CVSS v3.1得分为7.5。代码成熟度未经证实,这表明没有代码样本。基于风险的优先级方法会将其视为重要级别。
第三方漏洞
谷歌Chrome于6月30日解决了他们的第四个零日漏洞利用,因此从基于风险的优先级角度来看,Chrome和Edge更新在补丁星期二之前成为焦点。CVE-2025-6554在Windows的138.9.7204.96/.97版本、Mac的138.0.7204.92/.93版本和Linux的138.0.7204.92版本中解决,他们表示将在未来几天/周内推出。
Ivanti安全公告
Ivanti为7月补丁星期二发布了三个更新,共解决了11个CVE。受影响的产品包括Ivanti Connect Secure和Policy Secure、Ivanti EPMM和Ivanti EPM。
有关更多详细信息,您可以在Ivanti博客上查看7月安全更新中提供的信息。
7月更新优先级
- Google Chrome和Microsoft Edge浏览器是本月的最高优先级。确保您已部署最新更新以解决6月30日发现的零日漏洞利用(CVE-2025-6554)。
- Windows Server OS更新可能是本月最大的安全优先级,特别是对于那些在6月更新后遇到DHCP问题并不得不卸载6月更新的用户。
关于Chris Goettl
Chris Goettl是Ivanti安全产品的产品管理副总裁。Chris在IT领域拥有超过15年的经验,他支持并为Ivanti客户实施安全解决方案,并指导Ivanti安全产品的安全策略和愿景。他还是一名安全布道者,在全球安全活动中发表演讲,提供有关现代网络威胁以及如何有效应对的指导。Chris主持每月一次的关于补丁星期二和安全漏洞的网络研讨会,并经常撰写有关安全主题的博客。您可以在著名的安全新闻来源(如SC Magazine、Redmond Magazine、ComputerWorld、ThreatPost、Help Net Security等)中找到Chris的署名和评论。