Microsoft oplyser om 137 sårbarheder, zero-day sårbarhed i Microsoft SQL Server og Office sårbarheder

Microsoft har i juli 2025 udsendt sikkerhedsopdateringer, der adresserer 137 sårbarheder, herunder én offentliggjort zero-day sårbarhed i Microsoft SQL Server. Opdateringerne omfatter også fjorten “kritiske” sårbarheder, hvoraf ti er fjernudførelse af kode, én er informationslækage, og to relaterer til AMD sidekanalangreb.

Oversigt over sårbarheder

Antallet af sårbarheder fordelt på kategorier er som følger:

Kategori	Antal
Forhøjelse af privilegier	53
Omgåelse af sikkerhedsfunktioner	8
Fjernudførelse af kode	41
Informationslækage	18
Tjenestenægtelse (DoS)	6
Spoofing	4

Disse tal inkluderer ikke fire Mariner- og tre Microsoft Edge-problemer, der blev rettet tidligere på måneden.

Offentliggjort zero-day sårbarhed i SQL Server

Den offentliggjorte zero-day sårbarhed er:

CVE-2025-49719 – Microsoft SQL Server Informationslækage Sårbarhed
“Improper input validation in SQL Server allows an unauthorized attacker to disclose information over a network.”

Microsoft anbefaler at installere den nyeste version af Microsoft SQL Server samt Microsoft OLE DB Driver 18 eller 19 for at afhjælpe denne sårbarhed.

Kritiske sårbarheder

Ud over ovennævnte zero-day sårbarhed har Microsoft rettet flere kritiske sårbarheder, herunder:

CVE-2025-47981 – Heap-baseret buffer overflow i Windows SPNEGO Extended Negotiation med en CVSS-score på 9.8. Denne sårbarhed kan udnyttes af en uautoriseret angriber til at udføre kode over et netværk.
CVE-2025-49704 – Fjernudførelse af kode i Microsoft SharePoint, som kan udnyttes af en angriber med en konto på platformen.

Det er vigtigt at bemærke, at sikkerhedsopdateringer for visse versioner af Microsoft Office, såsom LTSC for Mac 2021 og 2024, endnu ikke er tilgængelige, men forventes frigivet snarest.

Anbefalinger

Opdater alle berørte systemer med de nyeste sikkerhedsopdateringer fra Microsoft.
Installer den nyeste version af Microsoft SQL Server og de anbefalede OLE DB-drivere for at afhjælpe CVE-2025-49719.
Vær opmærksom på, at visse opdateringer til Microsoft Office for Mac endnu ikke er tilgængelige, og planlæg opdateringer i overensstemmelse hermed.

Kilde: Microsoft, ICARE.DK
Fotokredit: Microsoft
Personer/Firmaer/Emner/#: #Microsoft, #PatchTuesday, #Sikkerhedsopdatering, #ZeroDay, #SQLServer, #Windows, #SharePoint
Copyrights: Ⓒ 2025 Copyright by ICARE.DK – kan deles ved aktivt link til denne artikel.

Microsoft | Windows | Windows Security

Microsoft Windows Server Hyper-V nødopdatering ikke er i Windows Update
afMichael Rasmussen Microsoft, Windows, Windows Security

Microsoft har udgivet nød-out-of-band (OOB) Windows Server-opdateringer for at løse et kendt problem, der bryder oprettelsen af virtuel maskine (VM) på Hyper-V-værter efter installation af denne måneds Patch Tuesday-opdateringer. Problemet påvirker kun VM’er, der administreres med System Center Virtual Machine Manager (SCVMM) og ved hjælp af SDN (Software Defined Networking). På berørte systemer ser Windows-administratorer…

Se mere Microsoft Windows Server Hyper-V nødopdatering ikke er i Windows Update
Cuba | Hacking | IT-Sikkerhed | Malware | Microsoft

Ransomware-gruppen Cuba brugte Microsoft-konti til at viderebringe ødelæggende drivere
afHenning Sand Sørensen Cuba, Hacking, IT-Sikkerhed, Malware, Microsoft

Ransomware-banden var i stand til at bruge signerede drivere til at deaktivere slutpunktssikkerhedsværktøjer. Microsoft har tilbagekaldt certifikaterne. Microsoft suspenderede flere konti på sit hardwareudviklerprogram, der underskrev drivere brugt af en ransomware-gruppe kaldet Cuba til at deaktivere slutpunktssikkerhedsværktøjer. Drivercertifikaterne er blevet tilbagekaldt, og driverne føjes til en blokeringsliste, som Windows-brugere eventuelt kan implementere. “I de fleste…

Se mere Ransomware-gruppen Cuba brugte Microsoft-konti til at viderebringe ødelæggende drivere
Cybersecurity | Cybersikkerhed | Microsoft | Windows

Windows 10 End of License – Køb dine licenser inden 31. oktober, da vi kan ikke få flere efter denne dato.
afMichael Rasmussen Cybersecurity, Cybersikkerhed, Microsoft, Windows

Den 31. oktober stopper Windows 10 med at blive licenseret. Det betyder, at den 31. oktober er den sidste dag ALSO kan bestille Windows 10. Windows 10 vil fortsat være understøttet hos Microsoft frem til den 14. Oktober 2025. Herefter kommer der ikke til at findes support til produktet længere. For at sikre Windows 10 inden licensen…

Se mere Windows 10 End of License – Køb dine licenser inden 31. oktober, da vi kan ikke få flere efter denne dato.
Cybersecurity | Hacking | Malware | Microsoft | Patches

Microsoft-netværket er kun så sikkert som din ældste server
afHenning Sand Sørensen Cybersecurity, Hacking, Malware, Microsoft, Patches

Få opdateret netværket for at identificere systemer, der skal erstattes eller overflyttes fra. Virksomhedens fremtidige it-planer omfatter sandsynligvis test og planlægning af Windows 10- og Windows 11-implementeringer. Man undersøger metoder til installation og administration, herunder gruppepolitik- og intuneindstillinger. At Windows 10 og Windows 11 er flyttet til en årlig funktionsudgivelse kadence og væk fra to…

Se mere Microsoft-netværket er kun så sikkert som din ældste server
Alternativer | LIBRE OFFICE | MICROSOFT365 | OFFICE

Microsoft365 alternativer
afMichael Rasmussen Alternativer, LIBRE OFFICE, MICROSOFT365, OFFICE

Microsoft nedbrud er sket før og vil ske igen. Ikke kun hos Microsoft. Vi forudser at selve Internettet vil være topmål i de kommende år med også manuel sabotage på trafikknudepunkter – de såkaldte IX’er hvor DIX er 2 knudepunkter i Danmark der fordeler udenlandsk og dansk og nordisk trafik. Office pakken er som regel…

Se mere Microsoft365 alternativer
Cybersecurity | Microsoft

Få 2,6 millioner kroner for en Microsoft Outlook RCE nuldags-sårbarhed
afMichael Rasmussen Cybersecurity, Microsoft

Den efterhånden kendte sikkerhedshul mægler Zerodium har annonceret at vi få 400.000 dollars for en nuldags sårbarhed, der tillader fjernkørsel af kode (RCE) i Microsoft Outlook e-mail-klienten. Den nye udbetaling er ikke permanent, siger selskabet i et kort tweet, men slutdatoen for indsendelser er endnu ikke offentliggjort. I dag er det normalt med belønningssystemer og…

Se mere Få 2,6 millioner kroner for en Microsoft Outlook RCE nuldags-sårbarhed

Oversigt over sårbarheder

Offentliggjort zero-day sårbarhed i SQL Server

Kritiske sårbarheder

Anbefalinger

Cybersikkerhed & Nyheder