Na última atualização do Patch Tuesday (8 de julho de 2025), a Microsoft corrigiu 130 vulnerabilidades em diversos produtos, incluindo o Windows, Office, SQL Server, SharePoint, Visual Studio e Edge. Embora não haja zero-days ativos, uma das falhas foi publicamente divulgada antes do patch.
Dentre as vulnerabilidades, destaque para 14 falhas críticas e 115 importantes, com predominância de escalonamento de privilégios (53 casos), execução remota de código (42) e divulgação de informações sensíveis (17)
A falha CVE‑2025‑49719 no SQL Server (CVSS 7.5) permite vazamento de memória não inicializada sem autenticação, o que pode expor dados sensíveis como credenciais ou chaves criptográficas
O problema mais crítico é a vulnerabilidade CVE‑2025‑47981 no Windows SPNEGO Extended Negotiation (NEGOEX), com CVSS 9.8, possibilitando execução remota de código via mensagem maliciosa, sem interação do usuário. A Microsoft alerta que a exploração é “más provável” e pode viabilizar ameaças auto propagáveis
Além disso, foram detectados riscos em Office (preview pane), SharePoint, BitLocker, Connected Devices Platform e serviços como RRAS e Kerberos, afetando empresas que dependem de VPNs e infraestrutura remota
Dica de prevenção
Atualize imediatamente todos os sistemas Microsoft, especialmente SQL Server com drivers OLE DB 18/19, Windows SPNEGO e Office. Antes de aplicar patches, faça backup completo do sistema. Desative temporariamente funcionalidades não usadas, como o PREVIEW PANE no Office e restrinja o acesso ao RRAS via firewall ou VPN.
A Microsoft trouxe uma das maiores ondas de correções de 2025, mas sem zero-days ativos. Ainda assim, falhas graves como CVE‑2025‑49719 e CVE‑2025‑47981 exigem atenção imediata. A melhor forma de se proteger é atualizar e monitorar vulnerabilidades.
Se você quer proteger sua empresa com mais eficiência, conte com os serviços da LC SEC. Conheça nossas soluções avançadas em segurança digital em lcsec.io.
Compartilhe nas redes sociais:
