Microsoft je izdao svoje mjesečno ažuriranje sigurnosti, poznato kao Patch Tuesday, za jul 2025. godine. Ovog puta, kompanija se pozabavila ukupno 130 novootkrivenih ranjivosti, uz ponovno objavljivanje 10 ranjivosti koje nisu vezane za Microsoft proizvode.
Među ispravljenim ranjivostima, značajan broj, tačnije 41, odnosi se na izvršavanje kodova na daljinu (RCE), dok je 53 ranjivosti omogućavalo eskalaciju privilegija. Takođe je adresirano 18 slučajeva otkrivanja informacija, 5 slučajeva uskraćivanja usluge (DoS), 4 slučaja spoofinga, 1 slučaj manipulacije podacima i 8 slučajeva zaobilaženja sigurnosnih funkcija.
Ovo ažuriranje obuhvata širok spektar Microsoftovih proizvoda i usluga, uključujući operativne sisteme Windows, paket Microsoft Office, SQL Server, pretraživač Microsoft Edge baziran na Chromiumu, te razvojni alat Visual Studio, između ostalih. U okviru ovog izdanja, ispravljene su kritične i važne ranjivosti, od kojih neke omogućavaju daljinsko izvršavanje kodova. Važno je napomenuti da u ovom ažuriranju nisu prijavljene ranjivosti nultog dana (zero-day) niti one koje se aktivno eksploatišu.
Među kritičnim ranjivostima ističe se ona označena kao CVE-2025-47981, koja se odnosi na SPNEGO Extended Negotiation u sistemu Windows. Sa CVSS ocjenom 9.8, ova ranjivost omogućava napadačima da ostvare značajne uticaje na povjerljivost, integritet i dostupnost sistema putem mreže, bez potrebe za interakcijom korisnika, što je čini prioritetom za hitno zakrpavanje. Također, ranjivost CVE-2025-49717 u SQL Serveru, sa CVSS ocjenom 8.5, potencijalno dopušta napadačima daljinsko izvršavanje kodova, što može imati ozbiljne posljedice na pogođene sisteme.
Važne ranjivosti obuhvaćene ovim ažuriranjem rasprostiru se kroz razne Microsoft proizvode i usluge, uključujući jezgro Windowsa (Windows Kernel), klijenta za udaljenu radnu površinu (Remote Desktop Client), Microsoft Office, Windows BitLocker i Windows Routing and Remote Access Service (RRAS). Većina ovih ranjivosti ima CVSS ocjene u rasponu od 5.5 do 8.8, ukazujući na umjerenu do visoku kritičnost. Posebno je zabrinjavajuće što 41 ranjivost (CVE) potencijalno omogućava daljinsko izvršavanje kodova, dajući napadačima mogućnost pokretanja proizvoljnog koda na ugroženim sistemima. Među istaknutim primjerima su: CVE-2025-47981 (Windows SPNEGO Extended Negotiation, CVSS 9.8) kao kritična RCE ranjivost koja se može iskoristiti preko mreže bez interakcije korisnika; niz ranjivosti od CVE-2025-47998 do CVE-2025-49753 koje se tiču Windows RRAS-a (CVSS 8.8), a koje zahtijevaju interakciju korisnika, ali predstavljaju značajan rizik zbog mrežnog vektora napada; CVE-2025-49687 (Microsoft Input Method Editor, CVSS 8.8) kao lokalna RCE ranjivost koja utječe na specifično konfigurirane sisteme; te CVE-2025-49701 i CVE-2025-49704 (Microsoft Office SharePoint, CVSS 8.8) koje bi mogle omogućiti napadačima s niskim privilegijama daljinsko izvršavanje kodova.
Microsoft je potvrdio da nijedna od ranjivosti uključenih u ovo ažuriranje nije aktivno eksploatisana niti klasifikovana kao ranjivost nultog dana. Kolona “Exploitation” za sve prijavljene CVE-ove navodi “Exploitation Unlikely” ili “Exploitation Less Likely”, što ukazuje na odsustvo poznate aktivne eksploatacije u trenutku objavljivanja.
Ključni pogođeni proizvodi i usluge ovim ažuriranjem uključuju komponente Windowsa kao što su Windows Kernel, Windows BitLocker, Windows SSDP Service, Windows Hyper-V i Windows Routing and Remote Access Service (RRAS). Također su pogođeni Microsoft Office paket (Excel, Word, PowerPoint, SharePoint) s nekoliko ranjivosti koje omogućavaju RCE ili eskalaciju privilegija, zatim usluge u oblaku i preduzećima poput Azure Monitor Agent, Microsoft Intune i SQL Server, razvojni alati poput Visual Studija i proširenja za Python za Visual Studio Code, te pretraživač Microsoft Edge baziran na Chromiumu. Za 120 od ukupno 130 Microsoftovih CVE-ova, kompanija je pripremila FAQ odjeljke kako bi korisnicima pružila smjernice o primjeni zakrpa i strategijama ublažavanja. Nisu navedeni nikakvi privremeni radni putevi (workarounds) za ove ranjivosti, što implicira da je primjena sigurnosnih ažuriranja primarna strategija ublažavanja rizika. Samo dva CVE-a (CVE-2025-47981 i CVE-2025-49724) imaju specifična ublažavanja, što sugerira da većina ranjivosti zahtijeva direktno zakrpavanje radi potpunog otklanjanja rizika.
