微软 2025 年 7 月补丁星期二：修复 137 个安全漏洞，含 14 个关键漏洞

微软今日发布更新，修复了其 Windows 操作系统及支持软件中至少 137 个安全漏洞。本月解决的漏洞均未被发现存在主动利用，但其中 14 个漏洞被微软评为最严重的“关键”级别，这意味着攻击者可在用户极少或无需协助的情况下利用这些漏洞控制易受攻击的 Windows PC。

虽未列为关键漏洞，CVE-2025-49719 是一个公开披露的信息泄露漏洞，所有版本（回溯至 SQL Server 2016）均需安装补丁。微软评估 CVE-2025-49719 被利用的可能性较低，但该漏洞存在概念验证代码，意味着受影响企业应优先部署补丁。

Action1 联合创始人 Mike Walters 表示，CVE-2025-49719 可在无需认证的情况下被利用，且许多第三方应用依赖 SQL Server 及受影响驱动——这可能引发超出直接 SQL Server 用户范围的供应链风险。“敏感信息可能暴露，使处理有价值或受监管数据的组织面临高优先级威胁，”Walters 说，“受影响版本涵盖 2016 至 2022 年多个 SQL Server 版本，表明 SQL Server 在内存管理和输入验证方面存在根本问题。”

Rapid7 的 Adam Barnett 指出，今日是 SQL Server 2012 的支持终止日，这意味着即使您愿意向微软付费，也不会再获得针对关键漏洞的安全补丁。Barnett 还提醒关注 CVE-2025-47981，该漏洞 CVSS 评分为 9.8（最高为 10），是 Windows 服务器与客户端协商发现互支持认证机制时的远程代码执行漏洞。此认证前漏洞影响所有运行 Windows 10 1607 或更高版本的 Windows 客户端机器，以及所有当前版本的 Windows Server。微软认为攻击者较可能利用此漏洞。

微软还修复了 Office 中至少四个关键远程代码执行漏洞（CVE-2025-49695、CVE-2025-49696、CVE-2025-49697、CVE-2025-49702）。前两个被微软评为具有较高利用可能性，无需用户交互，且可通过预览窗格触发。

另外两个高严重性漏洞包括 CVE-2025-49740（CVSS 8.8）和 CVE-2025-47178（CVSS 8.0）；前者可能导致恶意文件绕过 Microsoft Defender SmartScreen 的筛查，该功能是 Windows 内置特性，用于阻止不可信下载和恶意网站。

CVE-2025-47178 涉及 Microsoft Configuration Manager 中的远程代码执行漏洞，该工具是企业用于管理、部署和保护网络中计算机、服务器及设备的工具。Immersive 的 Ben Hopkins 表示，此漏洞利用所需权限极低，具有只读访问角色的用户或攻击者均可能利用。“利用此漏洞可使攻击者以特权 SMS 服务账户身份在 Microsoft Configuration Manager 中执行任意 SQL 查询，”Hopkins 说，“此访问权限可用于操纵部署、向所有托管设备推送恶意软件或脚本、更改配置、窃取敏感数据，并可能升级至全企业操作系统代码执行，使攻击者获得对整个 IT 环境的广泛控制。”

此外，Adobe 已发布针对多款软件的安全更新，包括 After Effects、Adobe Audition、Illustrator、FrameMaker 和 ColdFusion。

SANS Internet Storm Center 提供了按严重性索引的每个补丁明细。如果您负责管理多台 Windows 系统，可能值得关注 AskWoody 以获取任何潜在问题更新的详情（考虑到本月修复的大量漏洞和 Windows 组件）。

如果您是 Windows 家庭用户，请考虑在安装任何补丁前备份数据和/或驱动器，并在遇到更新问题时在评论区留言。更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）公众号二维码

办公AI智能小助手