A Microsoft lançou o Patch Tuesday de julho com a correção de 130 vulnerabilidades, incluindo 10 falhas críticas e outras 10 CVEs envolvendo produtos como Visual Studio, AMD e o navegador Edge. Pela primeira vez em 2025, a empresa não precisou corrigir falhas exploradas ativamente, mas uma vulnerabilidade já era publicamente conhecida. Entre os problemas resolvidos, 53 são de elevação de privilégios, 42 de execução remota de código (RCE), 17 de divulgação de informações e 8 de bypass de recursos de segurança. Dois bugs adicionais no Edge também foram corrigidos desde a última rodada de atualizações.
A falha mais crítica é a CVE-2025-47981, no SPNEGO Extended Negotiation (NEGOEX), com pontuação CVSS 9.8. Ela permite execução remota de código via buffer overflow, sem autenticação, apenas com acesso à rede. Pesquisadores alertam que essa vulnerabilidade pode ser explorada de forma “wormable”, ou seja, com capacidade de auto-propagação, como o ransomware WannaCry, exigindo atualização urgente. Já a CVE-2025-49719 é uma vulnerabilidade de divulgação de informações no SQL Server (CVSS 7.5). Ela permite a leitura de memória não inicializada, que pode conter dados sensíveis como chaves criptográficas e credenciais. O problema afeta o motor do SQL Server e aplicativos que utilizam OLE DB.
Outras falhas de destaque incluem a CVE-2025-49735 (RCE no KDC Proxy Service, CVSS 8.1), a CVE-2025-48822 (RCE no Hyper-V, CVSS 8.6) e três vulnerabilidades no Microsoft Office com CVSS 8.4. A atualização também corrige cinco falhas no BitLocker (CVEs de até 6.8), que poderiam permitir a um invasor com acesso físico ao dispositivo acessar dados criptografados. O ataque ocorre ao carregar arquivos específicos enquanto o volume do sistema está desbloqueado. Além disso, a Microsoft anunciou o fim do suporte ao SQL Server 2012. A partir de 8 de julho de 2025, o produto deixará de receber atualizações de segurança com o encerramento do programa Extended Security Update (ESU).
