De nieuwste Patch Tuesday-release van Microsoft met oplossingen voor 130 kwetsbaarheden omvatten geen updates voor zero-day gebreken die momenteel worden uitgebuit. Nog steeds, het bedrijf erkende dat een van de gepatchte problemen al openbaar was gemaakt voordat de update werd uitgebracht.
Een brede veeg: 130 Kwetsbaarheden opgelost in de update van juli
Die van Microsoft Update juli adressen 130 kwetsbaarheden in het hele ecosysteem, naast 10 extern gerapporteerde problemen die software zoals Visual Studio beïnvloeden, AMD-componenten, en de op Chromium gebaseerde Edge-browser. Tien van deze problemen zijn gecategoriseerd als Kritiek, waarbij de rest als belangrijk wordt beschouwd in termen van ernst.
Volgens Satnam Narang van Tenable, Deze maand doorbreekt een patroon dat bijna een jaar duurde, waarbij elke maandelijkse update minstens één oplossing bevatte voor een kwetsbaarheid die actief uitgebuit in het wild.
Escalatie van privileges en aanvallen op afstand domineren
De kwetsbaarheden die in deze cyclus zijn opgelost, omvatten een verscheidenheid aan bedreigingstypen. Het hoogste aantal betreft fouten met betrekking tot het verhogen van privileges, in totaal 53. Dit wordt gevolgd door 42 gevallen van uitvoering van externe code, 17 kwetsbaarheden die informatie lekken, en 8 waarmee beveiligingsfuncties omzeild kunnen worden. Microsoft heeft sinds de release van vorige maand ook aanvullende oplossingen uitgebracht voor twee kwetsbaarheden in Edge.
Blootgestelde kwetsbaarheid in SQL Server trekt aandacht
Een opvallende zorg is CVE-2025-49719, een informatielekprobleem dat Microsoft SQL Server treft met een ernstclassificatie van 7.5 op de schaal CVSS. Deze publiekelijk bekende fout kan aanvallers toegang geven tot geheugenfragmenten die niet correct zijn gewist.
Deskundigen bij Rapid7 hebben hun zorgen geuit over dit soort kwetsbaarheden, terwijl het ogenschijnlijk weinig impact heeft, kan soms kritieke gegevens blootleggen, zoals encryptiesleutels. Mike Walters van Action1 opperde dat de kern van het probleem ligt in de verkeerde manier waarop SQL Server de invoervalidatie van het geheugen afhandelt, wat ertoe kan leiden dat gevoelige informatie wordt blootgesteld aan onbevoegde actoren, vooral wanneer er OLE DB-stuurprogramma's bij betrokken zijn.
SPNEGO-fout blijkt het gevaarlijkst
Bovenaan de lijst van bedreigingen deze maand staat CVE-2025-47981, rated 9.8 uit 10. Deze kritieke fout bestaat in de SPNEGO Extended Negotiation (NEGOEX) protocol en maakt uitvoering van code op afstand mogelijk zonder dat authenticatie nodig is. Een aanvaller zou het probleem kunnen misbruiken door een gefabriceerd bericht via het netwerk te versturen.
De kwetsbaarheid werd ontdekt door een anonieme bijdrager en beveiligingsonderzoeker Yuki Chen. Het heeft invloed op Windows 10 (versie 1607 en later) systemen waarbij een bepaalde groepsbeleidinstelling, bedoeld om PKU2U-authenticatie mogelijk te maken, standaard is ingeschakeld.
Benjamin Harris van watchTowr heeft aangegeven dat de kwetsbaarheid het potentieel heeft om “ontwormbaar,” wat betekent dat het zich over systemen kan verspreiden zonder gebruikersinteractie, vergelijkbaar met eerdere malware-gebeurtenissen zoals WannaCry.
Andere zeer ernstige bugs om in de gaten te houden
In de release van juli werden ook een aantal andere ernstige problemen aangepakt:
- CVE-2025-49735 – Een fout in de uitvoering van code op afstand in Windows KDC Proxy Service (CVSS 8.1)
- CVE-2025-48822 – Een RCE-kwetsbaarheid die Hyper-V treft (CVSS 8.6)
- CVE-2025-49695, CVE-2025-49696, CVE-2025-49697 – Drie RCE-fouten in Microsoft Office (CVSS 8.4 elk)
Ben McCarthy van Immersive benadrukte het belang van CVE-2025-49735 vanwege de mogelijkheid om toegang op afstand mogelijk te maken zonder dat gebruikersrechten of interactie nodig zijn. Hij merkte op dat hoewel de kwetsbaarheid momenteel afhankelijk is van een timingprobleem, waardoor het moeilijk is om er misbruik van te maken, geavanceerde aanvallers hun methoden in de loop van de tijd kunnen verfijnen om deze beperking te omzeilen..
BitLocker-kwetsbaarheden stellen apparaten bloot aan fysieke aanvallen
Er zijn ook vijf afzonderlijke fouten verholpen in BitLocker, De ingebouwde encryptietool van Microsoft. deze kwetsbaarheden –CVE-2025-48001, 48003, 48800, 48804, en 48818—elk scoorde 6.8 op de CVSS-schaal en zou iemand met fysieke toegang in staat kunnen stellen om gecodeerde informatie te extraheren.
Een mogelijke aanvalsmethode is het laden van een aangepast herstelomgevingsbestand (`WinRE.wim`) wanneer het besturingssysteemvolume is ontgrendeld. Microsoft schreef de ontdekking van deze fouten toe aan zijn interne onderzoeksteam, MORSE (Microsoft Offensive Research en Security Engineering).
Cybersecurity-ingenieur Jacob Ashdown waarschuwde dat dit soort kwetsbaarheden vooral gevaarlijk zijn in omgevingen waar laptops of mobiele apparaten verloren kunnen gaan of gestolen kunnen worden.. In dergelijke gevallen, aanvallers kunnen mogelijk encryptiebeveiligingen omzeilen en waardevolle gegevens rechtstreeks van het apparaat halen.
Laatste gordijn voor SQL Server 2012
Juli 8, 2025 markeert ook het einde van de uitgebreide ondersteuning voor SQL Server 2012. Met de afsluiting van de Extended Security Updates (AM) programma, Organisaties die nog steeds op deze versie vertrouwen, ontvangen geen officiële beveiligingspatches meer, waardoor ze kwetsbaar worden, tenzij ze naar een nieuwere locatie migreren, ondersteunde versie.