A Microsoft corrige 137 vulnerabilidades, incluindo 14 críticas e uma de dia zero

Como parte do Patch Tuesday de julho de 2025, a Microsoft lançou atualizações para seus produtos que corrigiram 137 vulnerabilidades, incluindo uma vulnerabilidade de dia zero no Microsoft SQL Server. O problema envolvia validação de entrada incorreta e permitia que invasores acessassem memória do servidor não inicializada, possibilitando a divulgação remota de informações sem autenticação.

Fonte da imagem: bleepingcomputer.com

Das vulnerabilidades corrigidas, 14 são classificadas como críticas, com dez delas permitindo a execução remota de código. As demais incluem um vazamento de informações e duas vulnerabilidades de canal lateral (canais ocultos de vazamento de informações) em processadores AMD. A divisão por categoria é a seguinte: 53 estão relacionadas à escalada de privilégios, oito a desvios de segurança, 41 à execução remota de código, 18 à divulgação de informações, seis à negação de serviço e quatro à substituição de dados. O Bleeping Computer também observa que sete patches para Microsoft Edge e Mariner lançados no início deste mês não estão incluídos.

A Microsoft dedicou atenção especial à vulnerabilidade CVE-2025-49719 no SQL Server, descoberta por Vladimir Aleksic, da própria empresa. Para corrigi-la, recomenda-se que os administradores instalem a versão mais recente do SQL Server ou atualizem o driver OLE DB da Microsoft para a versão 18 ou 19. Além disso, a lista de problemas críticos incluía diversas vulnerabilidades no Microsoft Office que podem ser exploradas abrindo um documento especialmente preparado ou até mesmo pelo painel de visualização.

A vulnerabilidade CVE-2025-49704 no Microsoft SharePoint, que permite a execução remota de código se houver uma conta na plataforma, também foi corrigida. No entanto, as atualizações para o Microsoft Office LTSC para Mac 2021 e 2024 ainda não estão prontas — seu lançamento é esperado em breve.