Microsoft on julkaissut elokuun korjaustiedoston tiistaina päivitykset, ja se on osoittanut yhteensä 107 uutta tietoturva haavoittuvuutta monille tuotteille ja palveluille, mukaan lukien Windows, Office ja Edge -selain.
Vaikka useita näistä Windowsin ja Office -haavoittuvuuksista luokitellaan kriittisiksi, Microsoft on vahvistanut, että julkaisun jälkeen ketään ei tällä hetkellä käytetä luonnossa. Seuraava suunniteltu laastari tiistaina on asetettu 9. syyskuuta 2025.
Ikkunat
Merkittävä osa paikoillaan olevista haavoittuvuuksista, yhteensä 67, on jaettu Windows 10: n, Windows 11: n ja Windows Server -palvelimen välillä, jotka ovat edelleen versioita, jotka edelleen saavat suojauspäivityksiä. Windows 7: n ja Windows 8.1: n käyttäjiä kehotetaan päivittämään Windows 11 24h2: een jatkuvan turvallisuuden varmistamiseksi, koska nämä vanhemmat versiot eivät enää saa päivityksiä.
Kriittisten Windows-haavoittuvuuksien joukossa ovat CVE-2015-53766, etäkoodin suorittamisen (RCE) virhe Graphics Device Interface API: ssä ja CVE-2015-50165, toinen RCE-haavoittuvuus, joka löytyy Windows Graphics -komponentista. Molempia voidaan hyödyntää yksinkertaisesti käymällä erityisesti muotoillulla verkkosivustolla, jolloin hyökkääjä voi pistää ja suorittaa mielivaltaisen koodin ilman käyttäjän vuorovaikutusta. CVE-2025-50165: n tapauksessa hyökkääjän on upotettava vain haitallinen kuva verkkosivulle.
Hyper-V näki myös kolme kriittistä haavoittuvuutta: CVE-2015-48807, RCE-haavoittuvuus, joka voisi sallia koodin suorittamisen isäntäjärjestelmässä vieraalta; CVE-2015-53781, tietovuoto haavoittuvuus, joka mahdollistaa pääsyn luottamuksellisiin tietoihin; ja CVE-2025-49707, huijaava haavoittuvuus, joka antaa virtuaalikoneen väärentää identiteettinsä ulkoisiin järjestelmiin.
Reititys- ja etäkäyttöpalvelussa (RRAS) oli 12 haavoittuvuutta, jotka luokiteltiin suureksi riskiksi. Puolet näistä on RCE -haavoittuvuuksia, ja toinen puoli on tietovuotoja. Lisäksi CVE-2025-53779 Kerberosissa Windows Server 2025: lle, joka aiemmin julkistettiin, antaa hyökkääjälle mahdollisuuden saada verkkotunnusten järjestelmänvalvojan oikeudet tietyissä olosuhteissa, vaikka Microsoft on luokitellut tämän keskisuuriksi riskiksi.
Toimisto
Microsoftin toimistotuoteperhe sai korjauksia 18 haavoittuvuudesta, joista 16 on RCE -virheitä. Neljä näistä RCE -haavoittuvuuksista pidetään kriittisiä, koska itse esikatseluikkuna voi toimia hyökkäysvektorina. Tämä tarkoittaa, että hyökkäys voidaan suorittaa yksinkertaisesti näyttämällä haitallinen tiedosto esikatseluruudussa ilman, että käyttäjän tarvitsee napsauttaa tai avata sitä. Kaksi näistä kriittisistä haavoittuvuuksista löytyi Microsoft Wordista.
Jäljellä olevat toimiston haavoittuvuudet luokitellaan suureksi riskiksi, mikä vaatii käyttäjän avaamaan erityisesti valmistetun tiedoston hyväksikäyttökoodille voimaan.
Reunaselain
Edge -selaimen uusin tietoturvapäivitys, versio 139.0.3405.86, julkaistiin 7. elokuuta. Tämä päivitys perustuu Chromium 139.0.7258.67: een ja sisältää korjaukset useista kromipohjasta perittyjen haavoittuvuuksille.
Androidin Edge sai myös päivityksen, version 139.0.3405.86, joka osoittaa erityisesti kaksi Microsoftin tunnistamaa reunakohtaista suojausaukkoa.
Source: Microsoft Patches 107 haavoittuvuutta Windowsissa, toimistossa ja reunassa
