🔒 微軟釋出重大資安更新：修補 130 項漏洞！

2025 年 7 月 9 日，微軟發布本月的 Patch Tuesday 更新，一口氣修補 130 項資安漏洞，其中包含 10 項「重大（Critical）」漏洞，涵蓋 SQL Server、Windows、Office (Word, PowerPoint, Excel)  等多個關鍵產品。

從 PCI DSS 合規角度，需要特別注意其中一項漏洞（CVE-2025-49719，CVSS 評分 7.5）出現在 Microsoft SQL Server 中，屬於資訊洩漏風險，可能允許未授權的攻擊者讀取未初始化的記憶體，洩漏如密碼或加密金鑰等敏感資料。

Rapid7 的首席軟體工程師 Adam Barnett 表示，雖然攻擊者可能無法立即獲得有價值的資訊，但透過技巧性操作，仍有可能取得加密金鑰等關鍵資料。

Action1 總裁 Mike Walters 則指出，此漏洞可能源於 SQL Server 記憶體管理中的輸入驗證不足，導致可讀取未初始化記憶體，進而洩漏如帳號密碼或連線字串等敏感資訊，影響範圍包括 SQL Server 引擎與使用 OLE DB 驅動的應用程式。

⚠️ 資安專家強烈呼籲：

系統管理員與 IT 團隊應立即部署本次更新，尤其是使用 SQL Server 的企業，以防止潛在大規模攻擊。

Source:

https://thehackernews.com/2025/07/microsoft-patches-130-vulnerabilities.html

https://krebsonsecurity.com/2025/07/microsoft-patch-tuesday-july-2025-edition/

#PCI #資安更新 #漏洞修補  #SQLServer  #PatchTuesday #資安警示 #資訊安全 #CVSS