Microsoft je izdao svoje mjesečno ažuriranje sigurnosti poznato kao “Patch Tuesday” za juli 2025., adresirajući ukupno 130 novih ranjivosti u svojim proizvodima i uslugama, uz ponovno objavljivanje 10 ranjivosti koje se ne odnose na Microsoftove proizvode.
Ovo ažuriranje obuhvata širok spektar proizvoda, uključujući operativne sisteme Windows, Microsoft Office paket, SQL Server, pretraživač Microsoft Edge baziran na Chromiumu te razvojno okruženje Visual Studio. Ukupan broj ranjivosti podijeljen je po tipovima: 41 ranjivost omogućava izvršavanje udaljenog koda (RCE), 53 ranjivosti omogućavaju eskalaciju privilegija (EoP), 18 ranjivosti otkriva informacije (ID), 5 ranjivosti uzrokuje uskraćivanje usluge (DoS), 4 ranjivosti spadaju u lažiranje (Spoofing), 1 ranjivost omogućava manipulaciju podacima (Data Tampering) te 8 ranjivosti predstavlja zaobilaženje sigurnosnih funkcija (Security Feature Bypass).
Izdanje uključuje kritične i važne ranjivosti, a neke od njih omogućavaju izvršavanje udaljenog koda (RCE). Važno je napomenuti da u ovom ažuriranju nisu prijavljene nikakve “zero-day” ranjivosti niti one koje se aktivno eksploatišu.
Među kritičnim ranjivostima ističu se:
* **CVE-2025-47981** (Windows SPNEGO Extended Negotiation, CVSS 9.8): Ova ranjivost dopušta napadačima da postignu značajne uticaje na povjerljivost, integritet i dostupnost preko mreže bez interakcije korisnika, što je čini visokim prioritetom za zakrpljavanje.
* **CVE-2025-49717** (SQL Server, CVSS 8.5): Ova ranjivost mogla bi omogućiti napadačima izvršavanje udaljenog koda sa značajnim posljedicama na pogođene sisteme.
Što se tiče važnih ranjivosti, one se protežu kroz razne Microsoft proizvode i usluge, uključujući Windows Kernel, Remote Desktop Client, Microsoft Office, Windows BitLocker i Windows Routing and Remote Access Service (RRAS). Većina ovih ranjivosti ima CVSS ocjene u rasponu od 5.5 do 8.8, ukazujući na umjerenu do visoku kritičnost. Značajan broj, tačnije 41 CVE, potencijalno može dovesti do izvršavanja udaljenog koda, dopuštajući napadačima pokretanje proizvoljnog koda na ugroženim sistemima. Ključni primjeri uključuju:
* **CVE-2025-47981** (Windows SPNEGO Extended Negotiation, CVSS 9.8): Kritična RCE ranjivost koja se može iskoristiti preko mreže bez interakcije korisnika.
* Više ranjivosti vezanih za Windows RRAS (npr. **CVE-2025-47998, CVE-2025-49657, CVE-2025-49663, CVE-2025-49668, CVE-2025–49674, CVE-2025-49676, CVE-2025-49729, CVE-2025-49753**) sa CVSS ocjenom 8.8: Ove ranjivosti zahtijevaju interakciju korisnika, ali predstavljaju značajan rizik zbog mrežnog vektora napada.
* **CVE-2025-49687** (Microsoft Input Method Editor, CVSS 8.8): Lokalna RCE ranjivost koja pogađa sisteme sa specifičnim konfiguracijama.
* **CVE-2025-49701, CVE-2025-49704** (Microsoft Office SharePoint, CVSS 8.8): Ove ranjivosti bi mogle omogućiti napadačima s niskim privilegijama izvršavanje udaljenog koda.
Microsoft je potvrdio da nijedna od ranjivosti u ovom ažuriranju nije aktivno eksploatisana niti klasifikovana kao “zero-day”. Kolona “Exploitability” za sve CVE-ove navodi “Exploitation Unlikely” ili “Exploitation Less Likely”, što ukazuje na odsustvo poznate aktivne eksploatacije u trenutku objavljivanja.
Ključni pogođeni proizvodi i usluge obuhvataju komponente Windows operativnog sistema kao što su Windows Kernel, BitLocker, SSDP Service, Hyper-V i RRAS; Microsoft Office paket, uključujući Excel, Word, PowerPoint i SharePoint; serverske i cloud usluge poput Azure Monitor Agent, Microsoft Intune i SQL Server; razvojne alate poput Visual Studio i Visual Studio Code Python extension; te pretraživač Microsoft Edge.
Za 120 od ukupno 130 Microsoftovih CVE-ova, kompanija je obezbijedila dodatne FAQ sekcije koje korisnicima pomažu u procesu zakrpljavanja i primjeni strategija ublažavanja rizika. Nisu navedeni nikakvi privremeni radni koraci (workarounds) za pomenute ranjivosti, što sugeriše da je primjena sigurnosnih ažuriranja primarna metoda zaštite. Samo dva CVE-a (CVE-2025-47981 i CVE-2025-49724) imaju specifična ublažavanja, što znači da većina ranjivosti zahtijeva direktno zakrpljavanje kako bi se u potpunosti adresirali rizici.
