Kompanija Microsoft je objavila ažuriranja za jul 2025. kao mjesečni paket sigurnosnih zakrpa, adresirajući ukupno 130 potencijalnih ranjivosti (CVE) i ponovo objavljujući 10 CVE-ova koji nisu vezani za Microsoft.
Ovo ažuriranje obuhvata širok spektar proizvoda i usluga, uključujući Windows, Microsoft Office, SQL Server, Microsoft Edge (baziran na Chromiumu) i Visual Studio, između ostalog.
Ovo izdanje uključuje kritične i važne ranjivosti, od kojih nekoliko omogućava daljinsko izvršavanje koda (RCE). Važno je napomenuti da u ovom ažuriranju nisu prijavljene ranjivosti nultog dana (zero-day) niti aktivno iskorištavane ranjivosti.
Ukupno je riješeno 130 ranjivosti, od čega:
* Daljinsko izvršavanje koda (RCE): 41
* Podizanje privilegija (EoP): 53
* Otkrivanje informacija (ID): 18
* Usluga uskraćivanja (DoS): 5
* Falsifikovanje (Spoofing): 4
* Manipulacija podacima (Data Tampering): 1
* Zaobilaženje sigurnosnih funkcija (Security Feature Bypass): 8
Među kritičnim ranjivostima ističu se:
* **CVE-2025-47981** (Windows SPNEGO Extended Negotiation, CVSS 9.8): Ova ranjivost omogućava napadačima da postignu značajne uticaje na povjerljivost, integritet i dostupnost putem mreže, bez interakcije korisnika, što je čini visokoprioritetnom metom za zakrpe.
* **CVE-2025-49717** (SQL Server, CVSS 8.5): Ova ranjivost bi mogla omogućiti napadačima daljinsko izvršavanje koda sa značajnim uticajem na pogođene sisteme.
Što se tiče važnih ranjivosti, one pokrivaju razne Microsoft proizvode i usluge, uključujući Windows Kernel, Remote Desktop Client, Microsoft Office, Windows BitLocker i Windows Routing and Remote Access Service (RRAS). Većina ima CVSS ocjene u rasponu od 5.5 do 8.8, što ukazuje na umjerenu do visoku ozbiljnost.
Značajan broj ranjivosti, njih 41, potencijalno može dovesti do daljinskog izvršavanja koda, omogućavajući napadačima da pokrenu proizvoljni kod na pogođenim sistemima. Ključni primjeri uključuju:
* **CVE-2025-47981** (Windows SPNEGO Extended Negotiation, CVSS 9.8): Kritična ranjivost za RCE koja se može iskoristiti putem mreže bez interakcije korisnika.
* **CVE-2025-47998, CVE-2025-49657, CVE-2025-49663, CVE-2025-49668, CVE-2025-49674, CVE-2025-49676, CVE-2025-49729, CVE-2025-49753** (Windows RRAS, CVSS 8.8): Ove ranjivosti zahtijevaju interakciju korisnika, ali predstavljaju značajne rizike zbog mrežnog vektora napada.
* **CVE-2025-49687** (Microsoft Input Method Editor, CVSS 8.8): Lokalna RCE ranjivost koja pogađa sisteme sa specifičnim konfiguracijama.
* **CVE-2025-49701, CVE-2025-49704** (Microsoft Office SharePoint, CVSS 8.8): Ove ranjivosti bi mogle omogućiti napadačima sa niskim privilegijama daljinsko izvršavanje koda.
Microsoft je potvrdio da nijedna od ranjivosti u ovom ažuriranju nije aktivno eksploatisana niti klasifikovana kao ranjivost nultog dana. Kolona “Exploitability” za sve CVE-ove navodi “Exploitation Unlikely” ili “Exploitation Less Likely”, ukazujući na nepostojanje poznate aktivne eksploatacije u vrijeme objavljivanja.
U ažuriranju su adresirane ranjivosti u ključnim proizvodima i uslugama:
* Komponente Windows operativnog sistema, uključujući Windows Kernel, Windows BitLocker, Windows SSDP Service, Windows Hyper-V i Windows Routing and Remote Access Service (RRAS).
* Microsoft Office paket, sa ranjivostima u Excelu, Wordu, PowerPointu i SharePointu, od kojih neke omogućavaju RCE ili eskalaciju privilegija.
* Usluge u oblaku i preduzećima, kao što su Azure Monitor Agent, Microsoft Intune i SQL Server.
* Alati za razvoj, uključujući Visual Studio i Visual Studio Code Python extension.
* Pretraživači, poput Microsoft Edge (baziran na Chromiumu).
Za 120 od ukupno 130 ranjivosti, Microsoft je pružio dodatna FAQ pitanja kako bi pomogao korisnicima u procesu zakrpa i strategijama ublažavanja. Nisu navedeni nikakvi alternativni načini ublažavanja (workarounds) za pomenute ranjivosti, što sugeriše da je primjena sigurnosnih ažuriranja primarna strategija za potpuno rješavanje rizika. Samo dva CVE-a (CVE-2025-47981 i CVE-2025-49724) imaju navedena specifična ublažavanja.
