Microsoft ha rilasciato August Patch Tuesday Aggiornamenti, affrontando 107 nuove vulnerabilità di sicurezza tra i suoi prodotti, senza exploit attivi confermati.
La versione di August Patch Tuesday di Microsoft ha introdotto una serie completa di aggiornamenti di sicurezza, patching per un totale di 107 distinte vulnerabilità tra vari prodotti e servizi Microsoft. Microsoft ha specificato che nessuna di queste vulnerabilità identificate veniva attivamente sfruttata in natura al momento del rilascio di aggiornamento. La prossima patch programmata martedì per Microsoft è il 9 settembre 2025.
Una parte significativa delle vulnerabilità indirizzate, in particolare 67, è stata trovata e successivamente fissata tra le versioni supportate del sistema operativo Windows. Questi includono Windows 10, Windows 11 e Windows Server. È importante notare che gli utenti di Windows 7 e Windows 8.1 non hanno ricevuto aggiornamenti di sicurezza per un lungo periodo, rendendo i sistemi potenzialmente vulnerabili. L’aggiornamento a Windows 11 24h2 è consigliato per gli utenti su questi vecchi sistemi operativi, a condizione che i loro requisiti di sistema siano soddisfatti, per garantire la ricezione dell’aggiornamento della sicurezza continua.
Tra le vulnerabilità critiche identificate in Windows ci sono CVE-2025-53766 e CVE-2025-50165. CVE-2025-53766 è un difetto di esecuzione del codice remoto (RCE) che colpisce l’API dell’interfaccia del dispositivo grafico, che è utilizzata da applicazioni grafiche. CVE-2025-50165 è un’altra vulnerabilità RCE, situata all’interno del componente grafico di Windows. Lo sfruttamento di una di queste vulnerabilità potrebbe consentire a un utente malintenzionato di iniettare ed eseguire codice arbitrario su un sistema senza richiedere l’interazione dell’utente. Per CVE-2025-53766, semplicemente visitare un sito Web appositamente realizzato è sufficiente per un attacco. Per CVE-2025-50165, un utente malintenzionato potrebbe ottenere l’esecuzione del codice creando un’immagine dannosa incorporata all’interno di una pagina Web.
Microsoft ha anche classificato tre vulnerabilità all’interno di Hyper-V come critico. CVE-2025-48807 è una vulnerabilità RCE, che, se sfruttata, potrebbe consentire l’esecuzione del codice sul sistema host da una macchina virtuale ospite. CVE-2025-53781 è una vulnerabilità di perdita di dati, potenzialmente consentendo l’accesso non autorizzato a informazioni riservate. CVE-2025-49707 è una vulnerabilità di spoofing che potrebbe consentire a una macchina virtuale di impersonare un’identità diversa durante le comunicazioni con sistemi esterni.
Il Servizio di routing e accesso remoto (RRAS) aveva 12 vulnerabilità, tutte classificate come ad alto rischio. La metà di queste erano vulnerabilità RCE, mentre l’altra metà erano vulnerabilità di perdite di dati. Una vulnerabilità, CVE-2025-53779 in Kerberos per Windows Server 2025, era stata precedentemente pubblicizzata. Questa vulnerabilità, classificata come rischio medio da parte di Microsoft, potrebbe consentire a un utente malintenzionato di ottenere diritti di amministratore per domini in condizioni specifiche.
All’interno della famiglia di prodotti Microsoft Office, sono state fissate 18 vulnerabilità, tra cui 16 vulnerabilità RCE. Quattro di queste vulnerabilità RCE, due delle quali sono specificamente in Word, sono state designate come critiche da Microsoft perché la finestra di anteprima funge da vettore di attacco. Ciò significa che potrebbe verificarsi un exploit semplicemente visualizzando un file dannoso nel riquadro di anteprima, senza che l’utente abbia bisogno di fare clic o aprire il file. Le restanti vulnerabilità dell’ufficio sono state classificate come ad alto rischio, richiedendo in genere all’utente di aprire un file appositamente preparato per il codice di exploit da eseguire.
Il browser Edge ha anche ricevuto aggiornamenti di sicurezza. La versione 139.0.3405.86 di Edge è stata rilasciata il 7 agosto, costruita su Chromium 139.0.7258.67 e includeva correzioni per più vulnerabilità presenti nella base di Chromium. Edge per Android, versione 139.0.3405.86, è stato rilasciato leggermente più tardi e incorporate correzioni per due vulnerabilità specifiche per il browser Edge.
