Microsoft Patches 130 kwetsbaarheden, waaronder kritieke fouten in SPNEGO en SQL Server

Cyberbeveiliging
Microsoft Patches 130 Vulnerabilities

Voor het eerst in 2025 bundelden Microsoft’s Patch Tuesday -updates geen fixes voor uitgebuite beveiligingskwetsbaarheden, maar het bedrijf erkende dat een van de geadresseerde fouten publiekelijk bekend was.

De patches lossen maar liefst 130 kwetsbaarheden op, samen met 10 andere niet-microsoft-CVE’s die de visuele studio, AMD en de op chroom gebaseerde randbrowser beïnvloeden. Van deze 10 worden kritisch beoordeeld en de rest worden allemaal belangrijk in ernst beoordeeld.

“De 11 maanden durende reeks van het patchen van minstens één nul-dag die deze maand in het wild werd geëxploiteerd,” zei Satnam Narang, senior stafonderzoekingenieur bij Tenable.

Drieënvijftig van deze tekortkomingen worden geclassificeerd als privilege-escalatie-bugs gevolgd door 42 als externe code-uitvoering, 17 als informatie-openbaarmaking en 8 als bypasses voor beveiligingsfunctie. Deze patches komen bovenop twee andere gebreken aangepakt door het bedrijf in de Edge -browser sinds de release van de Patch Tuesday Update van vorige maand.

De kwetsbaarheid die als publiekelijk bekend staat, is een foutoplossingfout in Microsoft SQL Server (CVE-2025-49719, CVSS-score: 7.5) die een ongeautoriseerde aanvaller kan toestaan ​​om niet-geïnitialiseerd geheugen te lekken.

“Een aanvaller leert misschien niets van enige waarde, maar met geluk, doorzettingsvermogen of een zeer sluwe masseren van de exploit, kan de prijs cryptografisch belangrijk materiaal of andere kroonjuwelen van de SQL -server zijn,” zei Adam Barnett, geleidsoftware -ingenieur bij Rapid7, in een verklaring.

Mike Walters, president en mede-oprichter van Action1, zei dat de fout waarschijnlijk het resultaat is van onjuiste invoervalidatie in het geheugenbeheer van SQL Server, waardoor toegang tot niet-geïnitialiseerd geheugen mogelijk is.

“Als gevolg hiervan konden aanvallers overblijfselen van gevoelige gegevens ophalen, zoals referenties of verbindingsreeksen,” voegde Walters eraan toe. “Het beïnvloedt zowel de SQL Server -engine als de applicaties met behulp van OLE DB -stuurprogramma’s.”

De meest kritische fout die Microsoft heeft gepatcht als onderdeel van de updates van deze maand, betreft een geval van externe code -uitvoering die van invloed is op SPNEGO uitgebreide onderhandeling (NegoEx). Opgespoord als CVE-2025-47981, draagt ​​het een CVSS-score van 9,8 van de 10.0.

“Buffer-overstroming gebaseerde buffer in Windows Spnego Uitgebreide onderhandeling stelt een ongeautoriseerde aanvaller in staat om code via een netwerk uit te voeren,” zei Microsoft in een advies. “Een aanvaller zou deze kwetsbaarheid kunnen benutten door een kwaadaardig bericht naar de server te sturen, wat mogelijk leidt tot externe code -uitvoering.”

Een anonieme onderzoeker en Yuki Chen zijn gecrediteerd voor het ontdekken en repareren van de fout. Microsoft merkte op dat het probleem alleen invloed heeft op Windows -clientmachines met Windows 10, versie 1607 en hoger vanwege de “Netwerkbeveiliging: PKU2U -authenticatieverzoeken toestaan ​​om deze computer te gebruiken om online identiteiten” Group Policy Object (GPO) te gebruiken die standaard worden ingeschakeld.

“Zoals altijd is de uitvoering van de externe code slecht, maar vroege analyse suggereert dat deze kwetsbaarheid ‘wormabel’ kan zijn – het soort kwetsbaarheid dat kan worden gebruikt in zelfpropagerende malware en veel herzieningstrauma van het wannacry -incident zou kunnen maken,” zei Watchtowr -oprichter en CEO Benjamin Harris.

“Microsoft is hier duidelijk over vereisten: geen authenticatie vereist, alleen netwerktoegang en Microsoft zelf geloven dat uitbuiting ‘waarschijnlijker’ is. We moeten onszelf niet voor de gek houden – als de particuliere industrie deze kwetsbaarheid heeft opgemerkt, is het zeker al op de radar van elke aanvaller met een ons kwaadaardigheid.

Other vulnerabilities of importance include remote code execution flaws impacting Windows KDC Proxy Service (CVE-2025-49735, CVSS score: 8.1), Windows Hyper-V (CVE-2025-48822, CVSS score: 8.6), and Microsoft Office (CVE-2025-49695, CVE-2025-496966, and CVE-2025-49697, CVSS-scores: 8.4).

“Wat CVE-2025-49735 aanzienlijk maakt, is de blootstelling aan netwerk gecombineerd zonder vereiste privileges of gebruikersinteractie. Ondanks de complexiteit van de hoge aanval opent de kwetsbaarheid de deur voor het compromis voor de Auth Remote, met name aantrekkelijk voor APT’s en natiestatenactoren,” Ben McCarthy, hoofdcyberbeveiligingsingenieur bij Immersive, zei.

“De aanvaller moet een raceconditie winnen – een timingfout waar het geheugen wordt vrijgelaten en opnieuw wordt toegewezen in een specifiek venster – wat betekent dat de betrouwbaarheid voorlopig laag is. Toch kunnen dergelijke problemen worden bewapend met technieken zoals Heap Grooming, waardoor uiteindelijk haalbaar maakt.”

Elders sluit de update vijf bypasses van de beveiligingsfuncties af in BitLocker (CVE-2025-48001, CVE-2025-48003, CVE-2025-48800, CVE-2015-2025-48804 en CVE-2025-48818, CVSS-scores: 6.8) die een aanvaller met fysieke toegang kan krijgen om te krijgen om een ​​encrypted data te krijgen.

“Een aanvaller zou deze kwetsbaarheid kunnen benutten door een winre.wim-bestand te laden, terwijl het OS-volume is ontgrendeld, waardoor toegang tot BitLocker-gecodeerde gegevens wordt toegekend,” zei Microsoft over CVE-2025-48804.

Onderzoekers Netanel Ben Simon en Alon Leviev met Microsoft Offensive Research and Security Engineering (MORSE) zijn erkend voor het melden van de vijf kwesties in de ingebouwde schijfcoderingstool.

“Indien geëxploiteerd, kunnen deze gebreken gevoelige bestanden, referenties blootleggen of geknoei met systeemintegriteit toestaan,” zei Jacob Ashdown, cyberbeveiligingsingenieur bij Immersive. “Dit vormt een bepaald risico, vooral voor organisaties waar apparaten verloren of gestolen kunnen gaan, omdat aanvallers met hands-on toegang mogelijk codering kunnen omzeilen en gevoelige gegevens kunnen extraheren.”

Het is ook vermeldenswaard dat 8 juli 2025 officieel het einde van de weg markeert voor SQL Server 2012, die geen toekomstige beveiligingspatches meer ontvangt in de lijst van het ESU -programma voor uitgebreide beveiligingsupdate (ESU).

Softwarepatches van andere leveranciers

Naast Microsoft zijn de afgelopen weken ook beveiligingsupdates vrijgegeven door andere leveranciers om verschillende kwetsbaarheden te verhelpen, waaronder –

  • Klim
  • AMD
  • Atlassian
  • Bitdefender
  • Broadcom (inclusief VMware)
  • Cisco
  • Citrix
  • D-link
  • Dell
  • Druppel
  • F5
  • Fortinet
  • Fortra
  • Gigabyte
  • Gitlab
  • Google Chrome
  • Google Cloud
  • Grafana
  • Hikvisie
  • Hitachi Energy
  • Pk
  • HP Enterprise (inclusief Aruba Networking)
  • IBM
  • Intel
  • Ivanti
  • Jenkins
  • Juniper -netwerken
  • Lenovo
  • Linux -distributies Almalinux, Alpine Linux, Amazon Linux, Arch Linux, Debian, Gentoo, Oracle Linux, Mageia, Red Hat, Rocky Linux, Suse en Ubuntu
  • Bemiddelenk
  • Mitsubishi Electric
  • Mongodb
  • Moxa
  • Mozilla Thunderbird
  • Nvidia
  • Oppo
  • Palo Alto Networks
  • Voortgangssoftware
  • Qualcomm
  • Ricoh
  • Ruckus draadloos
  • Samsung
  • SAP
  • Schneider elektrisch
  • Diensten
  • Siemens
  • Splunk
  • Supermicro
  • Vee
  • WordPress
  • Zimbra, en
  • Zoom
Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Samsung Race to Master Advanced 2Nm Chips tegen begin 2026

Dit is wat u moet weten

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]