Microsoft heeft zijn augustus -patch dinsdagupdates uitgerold en heeft in totaal 107 nieuwe beveiligingskwetsbaarheden behandeld in zijn brede scala aan producten en diensten, waaronder Windows, Office en de Edge -browser.
Hoewel verschillende van deze kwetsbaarheden in Windows en Office als kritisch zijn geclassificeerd, heeft Microsoft bevestigd dat, vanaf de release, er momenteel niemand in het wild wordt uitgebuit. De volgende geplande patch dinsdag is gepland voor 9 september 2025.
Ramen
Een aanzienlijk deel van de gepatchte kwetsbaarheden, in totaal 67, zijn verspreid over Windows 10, Windows 11 en Windows Server, de versies die nog steeds beveiligingsupdates ontvangen. Gebruikers op Windows 7 en Windows 8.1 wordt geadviseerd om te upgraden naar Windows 11 24H2 om een voortdurende beveiliging te garanderen, omdat deze oudere versies geen updates meer ontvangen.
Onder de kritieke Windows-kwetsbaarheden zijn CVE-2025-53766, een externe code-uitvoering (RCE) fout in de grafische apparaatinterface API en CVE-2025-50165, een ander RCE-kwetsbaarheid gevonden in de Windows Graphics-component. Beide kunnen eenvoudig worden geëxploiteerd door een speciaal vervaardigde website te bezoeken, waardoor een aanvaller willekeurige code kan injecteren en uitvoeren zonder gebruikersinteractie. In het geval van CVE-2025-50165 hoeft een aanvaller alleen een kwaadaardig beeld in te bedden op een webpagina.
Hyper-V zag ook drie kritieke kwetsbaarheden aangepakt: CVE-2025-48807, een RCE-kwetsbaarheid die code-uitvoering op het hostsysteem van een gast kon mogelijk maken; CVE-2025-53781, een kwetsbaarheid voor gegevenslek die toegang tot vertrouwelijke informatie mogelijk maakt; en CVE-2025-49707, een spoofing-kwetsbaarheid waarmee een virtuele machine zijn identiteit aan externe systemen kan vervalsen.
De Routing and Remote Access Service (RRAS) had 12 kwetsbaarheden vastgesteld, gecategoriseerd als hoog risico. De helft hiervan zijn RCE -kwetsbaarheden, en de andere helft zijn gegevenslekken. Bovendien stelt CVE-2025-53779 in Kerberos voor Windows Server 2025, die eerder werd gepubliceerd, een aanvaller in staat om mogelijk beheerdersrechten voor domeinen onder bepaalde voorwaarden te krijgen, hoewel Microsoft dit als medium risico heeft geclassificeerd.
Kantoor
Microsoft’s kantoorproductfamilie ontving fixes voor 18 kwetsbaarheden, waarvan 16 RCE -fouten. Vier van deze RCE -kwetsbaarheden worden als kritisch beschouwd omdat het voorbeeldvenster zelf kan dienen als een aanvalsvector. Dit betekent dat een aanval eenvoudig kan worden uitgevoerd door een kwaadaardig bestand in het voorbeeldvenster weer te geven, zonder dat de gebruiker deze moet klikken of openen. Twee van deze kritieke kwetsbaarheden werden gevonden in Microsoft Word.
De resterende kwetsbaarheden voor kantoor worden gecategoriseerd als een hoog risico, waardoor de gebruiker een speciaal voorbereid bestand moet openen voor de exploitcode om van kracht te worden.
Randbrowser
De nieuwste beveiligingsupdate voor de Edge -browser, versie 139.0.3405.86, werd uitgebracht op 7 augustus. Deze update is gebaseerd op Chroom 139.0.7258.67 en bevat fixes voor verschillende kwetsbaarheden die zijn overgenomen van de chroombasis.
Edge for Android ontving ook een update, versie 139.0.3405.86, die specifiek twee edge-specifieke beveiligingskloven aanpakt die door Microsoft zijn geïdentificeerd.
Source: Microsoft Patches 107 kwetsbaarheden in Windows, Office en Edge
