Pela primeira vez em 2025, as atualizações do Patch Tuesday da Microsoft não incluíram correções para vulnerabilidades de segurança exploradas, mas reconheceram que uma das falhas abordadas já era de conhecimento público.
Os patches resolvem impressionantes 130 vulnerabilidades, além de outras 10 CVEs não-Microsoft que afetam o Visual Studio, a AMD e seu navegador baseado em Chromium, o Edge.
Dentre estas, 10 são classificadas como Críticas e as restantes são classificadas como Importantes em termos de severidade.
"A sequência de 11 meses corrigindo pelo menos um zero-day que estava sendo explorado no mundo real terminou este mês", disse Satnam Narang, Senior Staff Research Engineer na Tenable.
Cinquenta e três dessas deficiências são classificadas como bugs de escalonamento de privilégios, seguidas por 42 como execução remota de código, 17 como divulgação de informações e 8 como bypasses de recurso de segurança.
Esses patches são adicionais a outras duas falhas abordadas pela empresa no navegador Edge desde o lançamento da atualização do Patch Tuesday do mês passado.
A vulnerabilidade que está listada como de conhecimento público é uma falha de divulgação de informação no Microsoft SQL Server (
CVE-2025-49719
, pontuação CVSS: 7.5) que poderia permitir a um atacante não autorizado vazar memória não inicializada.
"Um atacante pode muito bem não aprender nada de valor, mas com sorte, persistência ou algum ajuste muito astuto do exploit, o prêmio pode ser material de chave criptográfica ou outros tesouros coroados do SQL Server", disse Adam Barnett, Lead Software Engineer na Rapid7, em uma declaração.
Mike Walters, presidente e cofundador da Action1, disse que a falha provavelmente é resultado de uma validação de entrada inadequada no gerenciamento de memória do SQL Server, permitindo o acesso a memória não inicializada.
"Como resultado, os atacantes poderiam recuperar vestígios de dados sensíveis, como credenciais ou strings de conexão," Walters adicionou.
Isso afeta tanto o motor do SQL Server quanto aplicações que usam drivers OLE DB.
A falha mais crítica corrigida pela Microsoft como parte das atualizações deste mês trata-se de um caso de execução remota de código impactando o SPNEGO Extended Negotiation (NEGOEX).
Rastreada como
CVE-2025-47981
, ela tem uma pontuação CVSS de 9,8 em 10,0.
"Overflow de buffer baseado em heap no Windows SPNEGO Extended Negotiation permite que um atacante não autorizado execute código através de uma rede", disse a Microsoft em um aviso.
Um atacante poderia explorar essa vulnerabilidade enviando uma mensagem maliciosa para o servidor, podendo levar à execução remota de código.
Um pesquisador anônimo e Yuki Chen foram creditados com a descoberta e correção da falha.
A Microsoft observou que o problema afeta apenas máquinas clientes Windows rodando Windows 10, versão 1607 e acima devido ao "Network security: Allow PKU2U authentication requests to this computer to use online identities" Group Policy Object (GPO) estar habilitado por padrão.
"Como sempre, Execução Remota de Código é ruim, mas análises iniciais estão sugerindo que essa vulnerabilidade pode ser 'wormable' - o tipo de vulnerabilidade que poderia ser aproveitado em malware auto-propagável e fazer muitos revisitarem o trauma do incidente WannaCry", disse o fundador e CEO da watchTowr, Benjamin Harris.
A Microsoft é clara sobre os pré-requisitos aqui: nenhuma autenticação necessária, apenas acesso à rede, e a própria Microsoft acredita que a exploração é 'Mais Provável'.
Não devemos nos enganar - se a indústria privada notou essa vulnerabilidade, certamente já está no radar de todo atacante com um pingo de malícia.
Os defensores precisam largar tudo, aplicar os patches rapidamente e caçar sistemas expostos.
Outras vulnerabilidades importantes incluem falhas de execução remota de código impactando o Serviço de Proxy KDC do Windows (
CVE-2025-49735
, pontuação CVSS: 8.1), Windows Hyper-V (
CVE-2025-48822
, pontuação CVSS: 8.6), e Microsoft Office (
CVE-2025-49695
, CVE-2025-49696, e
CVE-2025-49697
, pontuações CVSS: 8.4).
"O que torna a
CVE-2025-49735
significante é a exposição pela rede combinada com a ausência de privilégios ou interação do usuário requeridos.
Apesar de sua alta complexidade de ataque, a vulnerabilidade abre a porta para comprometimento remoto pré-auth, particularmente atraente para APTs e atores de estados-nação," disse Ben McCarthy, Lead Cyber Security Engineer na Immersive.
O atacante deve ganhar uma condição de corrida - um defeito de temporização onde a memória é liberada e realocada em uma janela específica - o que significa que a confiabilidade é baixa por enquanto.
Ainda assim, tais questões podem ser armadas com técnicas como grooming de heap, tornando a eventual exploração viável.
Ademais, a atualização encerra cinco bypasses de recurso de segurança no Bitlocker (
CVE-2025-48001
,
CVE-2025-48003
,
CVE-2025-48800
,
CVE-2025-48804
, e
CVE-2025-48818
, pontuações CVSS: 6.8) que poderiam permitir a um atacante com acesso físico ao dispositivo obter dados criptografados.
"Um atacante poderia explorar essa vulnerabilidade carregando um arquivo WinRE.wim enquanto o volume do OS está desbloqueado, concedendo acesso a dados criptografados pelo BitLocker", disse a Microsoft sobre o
CVE-2025-48804
.
Os pesquisadores Netanel Ben Simon e Alon Leviev com o Microsoft Offensive Research and Security Engineering (MORSE) foram reconhecidos por reportar as cinco questões na ferramenta de criptografia de disco embutida.
"Se exploradas, essas falhas poderiam expor arquivos sensíveis, credenciais ou permitir a adulteração da integridade do sistema", disse Jacob Ashdown, Cyber Security Engineer na Immersive.
Isso representa um risco particular, especialmente para organizações onde dispositivos podem ser perdidos ou roubados, pois atacantes com acesso físico poderiam potencialmente burlar a criptografia e extrair dados sensíveis.
Vale também notar que 8 de julho de 2025 marca oficialmente o fim da linha para o SQL Server 2012, que não receberá mais nenhum patch de segurança futuramente, com a conclusão do programa Extended Security Update (ESU).
Patches de Software de Outros Fornecedores
Além da Microsoft, atualizações de segurança foram lançadas por outros fornecedores nas últimas semanas para corrigir várias vulnerabilidades, incluindo:
- Adobe
- AMD
- Atlassian
- Bitdefender
- Broadcom (incluindo VMware)
- Cisco
- Citrix
- D-Link
- Dell
- Drupal
- F5
- Fortinet
- Fortra
- Gigabyte
- GitLab
- Google Chrome
- Google Cloud
- Grafana
- Hikvision
- Hitachi Energy
- HP
- HP Enterprise (incluindo Aruba Networking)
- IBM
- Intel
- Ivanti
- Jenkins
- Juniper Networks
- Lenovo
- Distribuições Linux AlmaLinux, Alpine Linux, Amazon Linux, Arch Linux, Debian, Gentoo, Oracle Linux, Mageia, Red Hat, Rocky Linux, SUSE e Ubuntu
- MediaTek
- Mitsubishi Electric
- MongoDB
- Moxa
- Mozilla Thunderbird
- NVIDIA
- OPPO
- Palo Alto Networks
- Progress Software
- Qualcomm
- Ricoh
- Rsync
- Ruckus Wireless
- Samsung
- SAP
- Schneider Electric
- Siemens
- Splunk
- Supermicro
- Veeam
- WordPress
- Zimbra, e
- Zoom
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...