Microsoft узнал об уязвимости раньше всех — но та всё равно утекла в сеть
NewsMakerКак CVE-2025-49719 стала билетом в закрытые базы данных без пароля.
Во второй вторник июля корпорация Microsoft выпустила традиционный комплект обновлений Patch Tuesday , устраняющий 137 уязвимостей в различных продуктах компании. Среди них особенно выделяется одна уязвимость нулевого дня в Microsoft SQL Server, раскрытая ещё до выхода официального исправления.
В этот раз Microsoft устранила 14 критических уязвимостей, десять из которых позволяют выполнить удалённый код. Также были закрыты две уязвимости, связанные с атакой через сторонние каналы в процессорах AMD, одна — с утечкой информации и ещё одна — с обходом защитных механизмов.
Если распределить все исправленные проблемы по категориям, то получится следующая картина: 53 уязвимости связаны с повышением привилегий, 8 — с обходом функций безопасности, 41 — с удалённым выполнением кода, 18 — с раскрытием информации, 6 — с отказом в обслуживании и 4 — с подделкой данных. При этом в статистику не вошли семь уязвимостей, исправленных ранее в июле: четыре касаются ОС Mariner, три — браузера Microsoft Edge.
Особого внимания заслуживает уязвимость CVE-2025-49719 в Microsoft SQL Server. Она относится к типу уязвимостей нулевого дня, так как была обнародована до появления обновления. Проблема заключается в недостаточной проверке входных данных, из-за чего удалённый неаутентифицированный злоумышленник может получить доступ к неинициализированной памяти и извлечь из неё конфиденциальную информацию.
Microsoft указывает, что для устранения этой уязвимости необходимо обновить сервер до последней версии, а также установить драйвер Microsoft OLE DB версии 18 или 19. Обнаружение уязвимости приписывается сотруднику Microsoft Владимиру Алексичу, однако каким образом она стала публичной — компания не уточняет.
Также были исправлены критические уязвимости в Microsoft Office, допускающие запуск вредоносного кода при открытии специально сформированных документов, в том числе через окно предварительного просмотра. Однако обновления для Mac-версий Office LTSC 2021 и 2024 пока не выпущены — они ожидаются позже.
В Microsoft SharePoint также обнаружена опасная уязвимость ( CVE-2025-49704 ), позволяющая удалённо выполнять код при наличии учётной записи на платформе. Проблема затрагивает все версии продукта, доступные через интернет.
Даже самая развитая система не застрахована от уязвимости, если вовремя не уделять внимание деталям. Без регулярного контроля и прозрачности в реагировании на инциденты, цифровая безопасность остаётся иллюзией — особенно тогда, когда угроза уже внутри.
Во второй вторник июля корпорация Microsoft выпустила традиционный комплект обновлений Patch Tuesday , устраняющий 137 уязвимостей в различных продуктах компании. Среди них особенно выделяется одна уязвимость нулевого дня в Microsoft SQL Server, раскрытая ещё до выхода официального исправления.
В этот раз Microsoft устранила 14 критических уязвимостей, десять из которых позволяют выполнить удалённый код. Также были закрыты две уязвимости, связанные с атакой через сторонние каналы в процессорах AMD, одна — с утечкой информации и ещё одна — с обходом защитных механизмов.
Если распределить все исправленные проблемы по категориям, то получится следующая картина: 53 уязвимости связаны с повышением привилегий, 8 — с обходом функций безопасности, 41 — с удалённым выполнением кода, 18 — с раскрытием информации, 6 — с отказом в обслуживании и 4 — с подделкой данных. При этом в статистику не вошли семь уязвимостей, исправленных ранее в июле: четыре касаются ОС Mariner, три — браузера Microsoft Edge.
Особого внимания заслуживает уязвимость CVE-2025-49719 в Microsoft SQL Server. Она относится к типу уязвимостей нулевого дня, так как была обнародована до появления обновления. Проблема заключается в недостаточной проверке входных данных, из-за чего удалённый неаутентифицированный злоумышленник может получить доступ к неинициализированной памяти и извлечь из неё конфиденциальную информацию.
Microsoft указывает, что для устранения этой уязвимости необходимо обновить сервер до последней версии, а также установить драйвер Microsoft OLE DB версии 18 или 19. Обнаружение уязвимости приписывается сотруднику Microsoft Владимиру Алексичу, однако каким образом она стала публичной — компания не уточняет.
Также были исправлены критические уязвимости в Microsoft Office, допускающие запуск вредоносного кода при открытии специально сформированных документов, в том числе через окно предварительного просмотра. Однако обновления для Mac-версий Office LTSC 2021 и 2024 пока не выпущены — они ожидаются позже.
В Microsoft SharePoint также обнаружена опасная уязвимость ( CVE-2025-49704 ), позволяющая удалённо выполнять код при наличии учётной записи на платформе. Проблема затрагивает все версии продукта, доступные через интернет.
Даже самая развитая система не застрахована от уязвимости, если вовремя не уделять внимание деталям. Без регулярного контроля и прозрачности в реагировании на инциденты, цифровая безопасность остаётся иллюзией — особенно тогда, когда угроза уже внутри.