Microsoft 推出 2025年7月 Patch Tuesday 每月例行更新修補包

微軟 2025 年 7 月的例行性安全性更新，雖然沒有修補任何被駭客積極利用的漏洞，但官方證實其中一個已修復的弱點先前已在公開管道曝光。此次更新修補多達 130 個漏洞，以及 10 個影響 Visual Studio、AMD 和基於 Chromium 的 Edge 瀏覽器的非微軟 CVE 編號漏洞。在這些漏洞中，10 個被評為「嚴重」等級，其餘則被評為「重要」等級。

特別值得注意的是一個已公開披露的漏洞（CVE-2025-49719）和一個可能具蠕蟲特性的 Windows 與 Windows Server 遠端執行程式碼漏洞（CVE-2025-47981）。

各類漏洞依類型分類如下：

• 53 個權限提升問題
• 42 個遠端程式碼執行弱點
• 17 個資料洩漏漏洞
• 8 個安全機制繞過的缺陷

此外，微軟自上個月安全性更新釋出後，還額外修補了 Edge 瀏覽器中的另外 2 個資安漏洞。

漏洞 CVE-2025-49719 與 CVE-2025-49717 影響微軟 SQL Server

CVE-2025-49719 是一個影響微軟 SQL Server的未初始化記憶體洩漏漏洞，可被未授權攻擊者遠端觸發。微軟表示，此漏洞的利用程式碼目前為「未經證實」，即未公開或僅為理論上可行且評估被利用的可能性為「較低」。

Tenable 資深研究工程師 Satnam Narang 表示，SQL Server 使用者只需更新至最新版本即可，因這些版本已包含必要的驅動程式修補。然而，若使用自行開發的應用程式或第三方軟體連接 SQL Server，則需更新至 Microsoft OLE DB Driver for SQL Server 18 或 19 版本，或在更新前確認相容性。微軟安全公告提供了完整資訊，包括支援的一般發行版本和累積更新版本對照表。

此次更新亦修補了緩衝區溢位漏洞 CVE-2025-49717。具備身分驗證的攻擊者可透過對脆弱的 SQL Server 執行惡意查詢來觸發此漏洞，進而逃離 SQL Server 環境並在底層主機上執行程式碼。

揭露具蠕蟲特性的危險漏洞

CVE-2025-47981 是 SPNEGO 擴展協商 (NEGOEX) 的遠端程式碼執行漏洞。NEGOEX 是 SPNEGO 協商機制的擴展，允許在身分驗證前協商使用的安全機制。此漏洞嚴重性極高，CVSS 評分為 9.8，攻擊者僅需未經授權存取目標網路即可利用它。微軟評估此漏洞被利用的可能性為「較高」。

Tenable 特別行動小組的資深研究工程師 Satnam Narang 指出，此漏洞僅影響 Windows 10 1607 版本及更新版本，原因是這些版本預設啟用了特定群組原則物件。自 2022 年以來，SPNEGO NEGOEX 中的漏洞相當罕見，僅出現過兩個案例：2022 年的 CVE-2022-37958 和今年 1 月初的 CVE-2025-21295，且這兩個漏洞都被評估為「不太可能被利用」。

資安公司 WatchTowr 的執行長 Benjamin Harris 特別對此漏洞發出警告。初步分析顯示它極可能「具蠕蟲性」，能自動擴散攻擊。Harris 指出，這個漏洞「有著成為嚴重資安事件的特質」，可能被用來開發自我繁殖的惡意程式，讓人聯想到 WannaCry 勒索病毒造成的災難。他警告，若資安專家已發現此漏洞，有心人士必定也已盯上它。他呼籲資安防護人員立即行動，盡快修補並檢查所有可能受影響的系統。

較可能受攻擊的漏洞

• 4 個允許攻擊者繞過 BitLocker 裝置加密功能的漏洞（攻擊者需要實體接觸目標系統才能利用）
   
• 4 個 Microsoft Office 遠端執行程式碼(RCE)漏洞，其中 3 個無需使用者互動即可執行。所有這些漏洞都可透過預覽窗格作為攻擊媒介。修補程式已提供給 Windows 和 Android 版本的 Office，但 Mac 用戶仍需等待更新
   
• CVE-2025-49704：允許具低權限的已驗證遠端攻擊者在 Microsoft SharePoint 上執行程式碼注入攻擊

資安專家指出，CVE-2025-49704 源於 Pwn2Own 柏林賽事，越南電信網路安全團隊利用此漏洞作為攻擊鏈的一部分成功入侵 SharePoint，獲得了10萬美元獎金。該漏洞允許透過網路進行程式碼注入，但單獨使用時，它需要一定程度的身分驗證。然而，在比賽中，該團隊將其與身分驗證繞過漏洞結合，以規避此要求。

Ivanti 安全產品管理副總裁 Chris Goettl 提醒系統管理員務必更新 Windows Server，因為這次更新修復了 Windows 路由與遠端存取服務 (RRAS) 中的 16 個 CVE 漏洞。這些漏洞可讓未經身分驗證的攻擊者誘導使用者連接至惡意伺服器，進而執行任意程式碼。攻擊者不需特殊權限即可透過網路遠端發動攻擊。

雖然套用作業系統更新是最佳解決方案，但還有其他緩解措施：將 RRAS 連接埠限制為受信任的網路或 VPN 集中器可降低風險，同時實施防火牆規則並停用未使用的 RRAS 功能也能強化安全性。

最後，請務必更新 Microsoft Edge 瀏覽器，以修復 CVE-2025-6554 漏洞，該漏洞目前已被發現在實際環境中攻擊 Chrome 使用者。

本文轉載自 InfosecurityMagazine、TheHackerNews、HelpNetSecurity。