Laburpen exekutiboa
Microsoft-ek 2025eko abuztuan argitaratu du bere Segurtasun Buletinaren (Patch Tuesday) hileko edizioa, eta guztira 385 ahultasun identifikatu ditu bere produktuetako.
385 ahultasun horietatik, 17 kritikoak dira, 91 garrantzitsuak, 2 moderatuak eta 1 larritasun baxukoa. Nabarmendu behar da 0-day ahultasun bat detektatu dela.
Identifikatutako ahultasun kritikoen artean daude pribilegioen igoera, urruneko kodearen exekuzioa eta informazioaren zabalkundea Microsoft-en hainbat produktutan, besteak beste Azure, Windows eta Microsoft Office. Nahiz eta ahultasun horietako bat ere ez den aktiboki ustiatzen ari, horietako bat publikoki argitaratu da.
Ahultasunen sailkapena hauen deskripzioaren arabera honakoa da:
- 275 deskripzio zehatza gabe ahultasun.
- 44 pribilegioen igoera ahultasun.
- 35 kode urruneko exekuzioa ahultasun.
- 18 informazioaren argitaratzea ahultasun.
- 8 spoofing (ordezkatzea) ahultasun.
- 4 zerbitzuaren ukatzea ahultasun.
- 1 datuen aldaketa ahultasun.
Eragindako baliabideak
Ahultasun hauek honako produktuetan eragiten dute:
- Azure File Sync
- Azure OpenAI
- Azure Portal
- Azure Stack
- Azure Virtual Machines
- Desktop Windows Manager
- GitHub Copilot and Visual Studio
- Graphics Kernel
- Kernel Streaming WOW Thunk Service Driver
- Kernel Transaction Manager
- Microsoft 365 Copilot's Business Chat
- Microsoft Brokering File System
- Microsoft Dynamics 365 (on-premises)
- Microsoft Edge for Android
- Microsoft Exchange Server
- Microsoft Graphics Component
- Microsoft Office
- Microsoft Office Excel
- Microsoft Office PowerPoint
- Microsoft Office SharePoint
- Microsoft Office Visio
- Microsoft Office Word
- Microsoft Teams
- Remote Access Point-to-Point Protocol (PPP) EAP-TLS
- Remote Desktop Server
- Role: Windows Hyper-V
- SQL Server
- Storage Port Driver
- Web Deploy
- Windows Ancillary Function Driver for WinSock
- Windows Cloud Files Mini Filter Driver
- Windows Connected Devices Platform Service
- Windows DirectX
- Windows Distributed Transaction Coordinator
- Windows File Explorer
- Windows GDI+
- Windows Installer
- Windows Kernel
- Windows Kerberos
- Windows Local Security Authority Subsystem Service (LSASS)
- Windows Media
- Windows Message Queuing
- Windows NT OS Kernel
- Windows NTFS
- Windows NTLM
- Windows PrintWorkflowUserSvc
- Windows Push Notifications
- Windows Remote Desktop Services
- Windows Routing and Remote Access Service (RRAS)
- Windows Security App
- Windows SMB
- Windows StateRepository API
- Windows Subsystem for Linux
- Windows Win32K - GRFX
- Windows Win32K - ICOMP
Azterketa teknikoa
Argitaratutako kalteberatasunen xehetasunak honako hauek dira:
- CVE-2025-53779: Windows Kerberos Pribilegioen Gorakada Ahultasuna
- Larritasuna: Ertaina
- CVSS: 7.2
- CVSS bektorea: Ez dago eskuragarri
- Argitalpena: Bai
- Ustiatzea: Ez detektatua
- Azken bertsioko ustiatze maila: Oso zaila
- Aukera alternatiboak: Ez
Kalteberatasun kritikoen xehetasunak hauek dira:
- CVE-2025-53767: Azure OpenAI Pribilegioen Gorakada Ahultasuna
- Larritasuna: Kritikoa
- CVSS: 10.0
- CVSS bektorea: Ez dago eskuragarri
- Argitalpena: Ez
- Ustiatzea: Ez detektatua
- Azken bertsioko ustiatze maila: E/E
- Aukera alternatiboak: Ez
- CVE-2025-50165: Windows Graphics Component-eko Urruneko Kode Exekuzioaren Segurtasun Ahulezia
- Larritasuna: Kritikoa
- CVSS: 9.8
- CVSS bektorea: Ez dago eskuragarri
- Argitalpena: Ez
- Ustiatzea: Ez detektatua
- Azken bertsioko ustiatze maila: Oso zaila
- Aukera alternatiboak: Ez
- CVE-2025-53766: GDI+ Urruneko Kode Exekuzioaren Segurtasun Ahulezia
- Larritasuna: Kritikoa
- CVSS: 9.8
- CVSS bektorea: Ez dago eskuragarri
- Argitalpena: Ez
- Ustiatzea: Ez detektatua
- Azken bertsioko ustiatze maila: Oso zaila
- Aukera alternatiboak: Ez
- CVE-2025-53792: Azure Portal Pribilegioen Eskalada Lezkeraren Kontrako Ahultasuna
- Larritasuna: Kritikoa
- CVSS: 9.1
- CVSS bektorea: Ez dago eskuragarri
- Argitalpena: Ez
- Ustiatzea: Ez detektatua
- Azken bertsioko ustiatze maila:
- Aukera alternatiboak: Ez
- CVE-2025-53778: Windows NTLM Pribilegioen Gorakada Sentsibilitatea
- Larritasuna: Kritikoa
- CVSS: 8.8
- CVSS bektorea: Ez dago eskuragarri
- Argitalpena: Ez
- Ustiatzea: Ez detektatua
- Azken bertsioko ustiatze maila: Litekeena
- Aukera alternatiboak: Ez
- CVE-2025-53740: Microsoft Office Urruneko Kode Exekuzioaren Segurtasun Ahulezia
- Larritasuna: Kritikoa
- CVSS: 8.4
- CVSS bektorea: Ez dago eskuragarri
- Argitalpena: Ez
- Ustiatzea: Ez detektatua
- Azken bertsioko ustiatze maila: Oso zaila
- Aukera alternatiboak: Ez
- CVE-2025-53733: Microsoft Word Remote Code Execution Vulnerability Microsoft Word-eko Urruneko Kode Exekuzioaren Segurtasun Ahulezia
- Larritasuna: Kritikoa
- CVSS: 8.4
- CVSS bektorea: Ez dago eskuragarri
- Argitalpena: Ez
- Ustiatzea: Ez detektatua
- Azken bertsioko ustiatze maila: Oso zaila
- Aukera alternatiboak: Ez
- CVE-2025-53784: Microsoft Word Remote Code Execution Vulnerability Microsoft Word-eko Urruneko Kode Exekuzioaren Segurtasun Ahulezia
- Larritasuna: Kritikoa
- CVSS: 8.4
- CVSS bektorea: Ez dago eskuragarri
- Argitalpena: Ez
- Ustiatzea: Ez detektatua
- Azken bertsioko ustiatze maila: Exploitation Unlikely
- Aukera alternatiboak: Ez
- CVE-2025-53731: Microsoft Office Urruneko Kode Exekuzioaren Segurtasun Ahulezia
- Larritasuna: Kritikoa
- CVSS: 8.4
- CVSS bektorea: Ez dago eskuragarri
- Argitalpena: Ez
- Ustiatzea: Ez detektatua
- Azken bertsioko ustiatze maila: Exploitation Unlikely
- Aukera alternatiboak: Ez
- CVE-2025-53787: Microsoft 365 Copilot BizChat Informazioaren Ezkutatzearen Segurtasun Ahultasuna
- Larritasuna: Kritikoa
- CVSS: 8.2
- CVSS bektorea: Ez dago eskuragarri
- Argitalpena: Ez
- Ustiatzea: Ez detektatua
- Azken bertsioko ustiatze maila: E/E
- Aukera alternatiboak: Ez
- CVE-2025-50177: Microsoft Message Queuing (MSMQ) Urruneko Kode Exekuzioaren Segurtasun Ahulezia
- Larritasuna: Kritikoa
- CVSS: 8.1
- CVSS bektorea: Ez dago eskuragarri
- Argitalpena: Ez
- Ustiatzea: Ez detektatua
- Azken bertsioko ustiatze maila: Litekeena
- Aukera alternatiboak: Ez
- CVE-2025-49707: Azure Virtual Machines-eko Spoofing Segurtasun Ahulezia
- Larritasuna: Kritikoa
- CVSS: 7.9
- CVSS bektorea: Ez dago eskuragarri
- Argitalpena: Ez
- Ustiatzea: Ez detektatua
- Azken bertsioko ustiatze maila: Oso zaila
- Aukera alternatiboak: Ez
- CVE-2025-50176: DirectX Graphics Kernel Urruneko Kode Exekuzioaren Segurtasun Ahulezia
- Larritasuna: Kritikoa
- CVSS: 7.8
- CVSS bektorea: Ez dago eskuragarri
- Argitalpena: Ez
- Ustiatzea: Ez detektatua
- Azken bertsioko ustiatze maila: Oso zaila
- Aukera alternatiboak: Ez
- CVE-2025-53781: Azure Virtual Machines Informazioaren Ezkutatzearen Vulnerabilidatea
- Larritasuna: Kritikoa
- CVSS: 7.7
- CVSS bektorea: Ez dago eskuragarri
- Argitalpena: Ez
- Ustiatzea: Ez detektatua
- Azken bertsioko ustiatze maila: Oso zaila
- Aukera alternatiboak: Ez
- CVE-2025-48807: Windows Hyper-V Urruneko Kode Exekuzioaren Segurtasun Ahulezia
- Larritasuna: Kritikoa
- CVSS: 7.5
- CVSS bektorea: Ez dago eskuragarri
- Argitalpena: Ez
- Ustiatzea: Ez detektatua
- Azken bertsioko ustiatze maila: Oso zaila
- Aukera alternatiboak: Ez
- CVE-2025-53793: Azure Stack Hub Informazioaren Ezkutatzearen Vulnerabilidatea
- Larritasuna: Kritikoa
- CVSS: 7.5
- CVSS bektorea: Ez dago eskuragarri
- Argitalpena: Ez
- Ustiatzea: Ez detektatua
- Azken bertsioko ustiatze maila: Exploitation Unlikely
- Aukera alternatiboak: Ez
- CVE-2025-53774: Microsoft 365 Copilot BizChat Informazioaren Ezkutatzearen Segurtasun Ahulezia
- Larritasuna: Kritikoa
- CVSS: 6.5
- CVSS bektorea: Ez dago eskuragarri
- Argitalpena: Ez
- Ustiatzea: Ez detektatua
- Azken bertsioko ustiatze maila: Oso zaila
- Aukera alternatiboak: Ez
Arintzea/Konponbidea
Kalteberatasun hauek eta beste batzuk saihesteko, gomendagarria da Microsoften segurtasun-eguneratzeak aplikatzea kaltetutako sistema guztietan.