Por primera vez en 2025, las actualizaciones del martes de Microsoft Patch no hicieron soluciones para las vulnerabilidades de seguridad explotadas, pero reconoció que uno de los defectos abordados se conocía públicamente.
Los parches resuelven la friolera de 130 vulnerabilidades, conexo con otras 10 CVE no Microsoft que afectan a Visual Studio, AMD y su navegador de borde a colchoneta de cromo. De estos 10 son calificados como críticos y los restantes tienen una calificación importante en la solemnidad.
«La ráfaga de 11 meses de parchear al menos un día cero que fue explotado en la naturaleza terminó este mes», dijo Satnam Narang, ingeniero de investigación de personal senior de Tenable.
Cincuenta y tres de estas deficiencias se clasifican como errores de subida de privilegios seguidos de 42 como ejecución de código remoto, 17 como divulgación de información y 8 como la función de seguridad se omite. Estos parches se suman a otros dos defectos dirigidos por la compañía en el navegador Edge desde el impulso de la modernización del Martes del Patch Mold del mes pasado.
La vulnerabilidad que se enumera como conocida públicamente es una defecto de divulgación de información en Microsoft SQL Server (CVE-2025-49719, puntaje CVSS: 7.5) que podría permitir a un atacante no calificado que filtre la memoria no inicializada.
«Un atacante proporcionadamente podría ilustrarse ausencia de ningún valía, pero con suerte, persistencia o un friega muy astuto de la exploit, el premio podría ser material esencia criptográfico u otras joyas de la corona del servidor SQL», dijo Adam Barnett, ingeniero de software principal de Rapid7, en un comunicado.
Mike Walters, presidente y cofundador de Action1, dijo que la defecto probablemente es el resultado de una empuje de entrada inadecuada en la papeleo de la memoria de SQL Server, lo que permite el llegada a la memoria no inicializada.
«Como resultado, los atacantes podrían recuperar restos de datos confidenciales, como credenciales o cadenas de conexión», agregó Walters. «Afecta tanto el motor SQL Server y las aplicaciones utilizando controladores OLE DB».
La defecto más crítica parcheada por Microsoft como parte de las actualizaciones de este mes se refiere a un caso de ejecución de código remoto que afecta la negociación extendida de SPNEGO (NOGOEX). Seguimiento como CVE-2025-47981, lleva un puntaje CVSS de 9.8 de 10.0.
«El desbordamiento del búfer basado en Heap en Windows Spnego la negociación extendida permite a un atacante no calificado ejecutar código a través de una red», dijo Microsoft en un aviso. «Un atacante podría explotar esta vulnerabilidad enviando un mensaje pillo al servidor, lo que podría conducir a la ejecución de código remoto».
Un investigador ignorado y Yuki Chen han sido acreditados por descubrir y reparar el defecto. Microsoft señaló que el problema solo afecta a las máquinas clientes de Windows que ejecutan Windows 10, lectura 1607 y superior conveniente a la «seguridad de la red: permiten las solicitudes de autenticación PKU2U a esta computadora que usen identidades en límite» Objeto de política de categoría (GPO) que se habilita de modo predeterminada.
«Como siempre, la ejecución del código remoto es mala, pero el investigación temprano sugiere que esta vulnerabilidad puede ser ‘lombriz’, el tipo de vulnerabilidad que podría aprovecharse en el malware autopropagante y hacer muchos trauma de revisión del incidente de WannaCry», dijo el fundador y CEO de WatchTOWR Benjamin Harris.
«Microsoft tiene claro que los requisitos previos aquí: no se requiere autenticación, solo llegada a la red, y Microsoft cree que la explotación es» más probable «. No debemos engañarnos a nosotros mismos: si la industria privada ha notado esta vulnerabilidad, ciertamente ya está en el radar de cada atacante con una guepardo de malicia.
Other vulnerabilities of importance include remote code execution flaws impacting Windows KDC Proxy Service (CVE-2025-49735, CVSS score: 8.1), Windows Hyper-V (CVE-2025-48822, CVSS score: 8.6), and Microsoft Office (CVE-2025-49695, CVE-2025-496966, and CVE-2025-49697, puntajes CVSS: 8.4).
«Lo que hace que CVE-2025-49735 sea significativo es la exposición de la red combinada sin privilegios o interacción del becario requerido. A pesar de su reincorporación complejidad de ataque, la vulnerabilidad abre la puerta al compromiso remoto previo a la autocomprobación, particularmente atractivo para los APT y los actores de los estados-nación», dijo Ben McCarthy, el ingeniero de seguridad cibernético principal de Inmersive,.
«El atacante debe obtener una condición de carrera, un defecto de sincronización donde la memoria se libera y se reasigna en una ventana específica, lo que significa que la confiabilidad es muerto por ahora. Aún así, tales problemas pueden armarse con técnicas como el preparación de montón, lo que hace que la explotación eventual sea posible».
En otro área, la modernización cierra cinco omitidos de características de seguridad en BitLocker (CVE-2025-48001, CVE-2025-48003, CVE-2025-48800, CVE-2025-48804 y CVE-2025-48818, CVSS de CVSS: 6.8) que podría permitir que un atacante con el dispositivo de llegada físico a obtener la bodega de Encrys.
«Un atacante podría explotar esta vulnerabilidad cargando un archivo winre.wim mientras se desbloquea el barriguita del sistema operante, otorgando llegada a datos cifrados de BitLocker», dijo Microsoft sobre CVE-2025-48804.
Los investigadores Netanel Ben Simon y Alon Leviev con Microsoft Offensive Research and Security Engineering (MORSE) han sido reconocidos por informar los cinco problemas en la útil de oculto de disco incorporado.
«Si se explotan, estos defectos podrían exponer archivos confidenciales, credenciales o permitir la manipulación de la integridad del sistema», dijo Jacob Ashdown, ingeniero de seguridad cibernética de Immersive. «Esto plantea un peligro particular, especialmente para las organizaciones donde los dispositivos pueden ser perdidos o robados, ya que los atacantes con llegada práctico podrían evitar el oculto y extraer datos confidenciales».
Además vale la pena señalar que el 8 de julio de 2025 marca oficialmente el final del camino para SQL Server 2012, que ya no recibirá ningún parche de seguridad futuro en la nómina del software de modernización de seguridad extendida (ESU) llegando a su fin.
Parches de software de otros proveedores
Adicionalmente de Microsoft, otros proveedores todavía han decidido actualizaciones de seguridad en las últimas dos semanas para rectificar varias vulnerabilidades, incluidas, incluidas
- Adobe
- Amd
- Atlassiano
- Defensor de bits
- Broadcom (incluido VMware)
- Cisco
- Citrix
- D-Link
- Dar a luz
- Drupal
- F5
- Fortinet
- Fortra
- Gigabyte
- Gitlab
- Google Chrome
- Google Cloud
- Rozar
- Caminata
- Energía de Hitachi
- HP
- HP Enterprise (incluida la red de Aruba)
- IBM
- Intel
- Situación
- Jenkins
- Redes de enebro
- Lenovo
- Distribuciones de Linux Almalinux, Alpine Linux, Amazon Linux, Arch Linux, Debian, Gentoo, Oracle Linux, Mageia, Red Hat, Rocky Linux, Suse y Ubuntu
- Mediatokek
- Mitsubishi Electric
- Mongodb
- Mox
- Mozilla Thunderbird
- Nvidia
- Opto
- Palo Stop Networks
- Software de progreso
- Qualcomm
- Ricoh
- Rsync
- Ruckus inalámbrico
- Samsung
- SAVIA
- Schneider Electric
- Siemens
- Flojo
- Supermicro
- Veam
- WordPress
- Zimbra, y
- Teleobjetivo
