🔒 微软释出重大资安更新：修补 130 项漏洞！

2025 年 7 月 9 日，微软发布本月的 Patch Tuesday 更新，一口气修补 130 项资安漏洞，其中包含 10 项「重大（Critical）」漏洞，涵盖 SQL Server、Windows、Office (Word, PowerPoint, Excel) 等多个关键产品。

从 PCI DSS 合规角度，需要特别注意其中一项漏洞（CVE-2025-49719，CVSS 评分 7.5）出现在 Microsoft SQL Server 中，属于资讯泄漏风险，可能允许未授权的攻击者读取未初始化的记忆体，泄漏如密码或加密金钥等敏感资料。

Rapid7 的首席软体工程师 Adam Barnett 表示，虽然攻击者可能无法立即获得有价值的资讯，但透过技巧性操作，仍有可能取得加密金钥等关键资料。

Action1 总裁 Mike Walters 则指出，此漏洞可能源于 SQL Server 记忆体管理中的输入验证不足，导致可读取未初始化记忆体，进而泄漏如帐号密码或连线字串等敏感资讯，影响范围包括 SQL Server 引擎与使用 OLE DB 驱动的应用程式。

⚠️ 资安专家强烈呼吁：

系统管理员与 IT 团队应立即部署本次更新，尤其是使用 SQL Server 的企业，以防止潜在大规模攻击。

Source:

https://thehackernews.com/2025/07/microsoft-patches-130-vulnerabilities.html

https://krebsonsecurity.com/2025/07/microsoft-patch-tuesday-july-2025-edition/

#PCI #资安更新 #漏洞修补  #SQLServer  #PatchTuesday #资安警示 #资讯安全 #CVSS