2025. november 11
Főcímek

Microsoft Patch Kedd – 137 sebezhetőség javítva, köztük egy aktív zero-day sérülékenység

murzil03 mins
windows-update

A Microsoft idei júliusi Patch Kedd keretében összesen 137 biztonsági rést foltozott be a Windows és a hozzá kapcsolódó szoftveres ökoszisztémákban. A frissítések listája egy különösen aggasztó zero-day sebezhetőséget is tartalmazott, amelyről már korábban nyilvános információk is keringtek – így annak gyors befoltozása kritikus fontosságú volt a védelem szempontjából.

🔍 Mi történt pontosan?

A Microsoft havi rendszerességgel megjelenő biztonsági frissítései ezúttal is széles körű lefedettséget biztosítottak:

  • 137 CVE (Common Vulnerabilities and Exposures) került javításra

  • Ebből:

    • 1 zero-day – aktívan kihasznált

    • 12 kritikus – távoli kódvégrehajtást (RCE) vagy jogosultságkiterjesztést tesz lehetővé

    • 115 fontos – adatszivárgás, szolgáltatásmegtagadás (DoS), biztonsági megkerülés stb.

    • 1 közepes kockázatú

A Tenable és CSO Online jelentései alapján az egyik legkomolyabb javítás a Microsoft SharePoint Server-t érinti:

  • CVE-2025-23455 (9.8 CVSS pontszám)

  • Távoli kódvégrehajtást lehetővé tevő hiba

  • A támadónak elegendő egy speciálisan kialakított csomagot küldeni a kiszolgálóra

💥 Az SQL Server zero-day

A legsúlyosabb figyelmeztetést azonban egy SQL Server-t érintő zero-day kapta:

  • A részleteket a Microsoft szándékosan visszafogottan közölte, mivel a sérülékenységre aktív exploit is megjelent

  • A támadók képesek lehettek rendszergazdai jogosultságokkal távoli parancsokat futtatni, bizonyos konfigurációk mellett

  • A krebsonsecurity.com és a bleepingcomputer.com szakírói szerint ezt már exploitálták célzott támadások során

🧠 Kiket érint?

A frissítések érintik többek közt:

  • Windows 10 és 11 különféle kiadásait

  • Windows Server 2016–2022 verziókat

  • Microsoft Office, .NET és Visual Studio környezeteket

  • SharePoint és SQL Server telepítéseket

  • Microsoft Dynamics és Edge böngészőt is

🛡️ Mit javasolnak a szakértők?

A biztonsági tanácsadók szerint:

  • A vállalati környezeteknek azonnal telepíteniük kell a javításokat, különösen SharePoint és SQL Server esetén

  • Fontos a rendszeres biztonsági mentés és a sebezhetőségi szkennelések lefuttatása

  • Ha még nem implementáltak Zero Trust vagy EDR-alapú megoldásokat, most időszerű lehet a bevezetésük

🧩 Összefoglalás

A Microsoft idei júliusi javítócsomagja nemcsak a mennyiségével, hanem súlyával is kiemelkedik. A több mint 130 javítás és az aktív exploitot tartalmazó zero-day figyelmeztetés mind arra utal, hogy a kiberfenyegetések soha nem látott szintre léptek. A frissítések telepítése tehát nem opcionális – hanem üzletkritikus biztonsági intézkedés.

📌 Tipp: Az aktuális frissítések részletei a Microsoft Security Update Guide oldalán találhatók. Érdemes beállítani automatikus frissítést – vagy PowerShell segítségével scriptelni a patchelések ellenőrzését nagyvállalati környezetben.

Kapcsolódó tartalom