Sono 130 le vulnerabilità di sicurezza che Microsoft ha corretto nel suo portafoglio software in occasione del rilascio degli aggiornamenti del Patch Tuesday di luglio 2025. Tra queste, anche una zero-day in Microsoft SQL Server per la quale risulta essere già disponibile in rete un exploit.

Ricordiamo che, secondo la classificazione Microsoft, una vulnerabilità è di tipo zero-day quando è stata divulgata pubblicamente o sfruttata attivamente prima del rilascio di una correzione ufficiale.

Per fortuna, nessuna delle vulnerabilità risolte questo mese è nota per essere stata sfruttata attivamente, ma 14 di esse hanno ottenuto il rating più grave assegnato da Microsoft, ovvero “critico”: significa che potrebbero essere sfruttate per assumere il controllo dei PC Windows vulnerabili con un intervento minimo o nullo da parte degli utenti.

Nel complesso, le vulnerabilità sono così classificate:

• 53 sono di tipo EoP (Elevation of Privilege);
• 8 consentono il bypass delle funzioni di sicurezza;
• 41 sono di tipo RCE (Remote Code Execution);
• 18 di tipo ID (Information Disclosure);
• 6 di tipo Denial of Service;
• 4 di tipo spoofing.

Tutti i dettagli sul pacchetto cumulativo di aggiornamenti sono disponibili sulla pagina ufficiale Microsoft.

I dettagli della vulnerabilità zero-day

Come dicevamo, il Patch Tuesday di questo mese risolve la vulnerabilità zero-day CVE-2025-49719 divulgata pubblicamente in Microsoft SQL Server.

Si tratta di un problema di sicurezza che potrebbe consentire agli attaccanti la divulgazione di informazioni e che interessa tutte le versioni a partire da SQL Server 2016 che hanno ricevuto patch.

Microsoft valuta la CVE-2025-49719 come meno suscettibile di essere sfruttata, tanto da non classificarla come critica e assegnandole un punteggio CVSS di 7.5, ma la disponibilità di codice Proof-of-Concept (PoC) suggerisce di rendere prioritaria la sua correzione.

Come riporta il CSIRT Italia, “La vulnerabilità interessa il database engine di Microsoft SQL Server, presente nelle versioni 2016, 2017, 2019 e 2022, nonché i driver OLE DB for SQL Server (versioni 18 e 19): una non corretta gestione della memoria potrebbe comportare la divulgazione di informazioni sensibili qualora un attaccante remoto non autenticato riesca ad accedere a porzioni di memoria non inizializzate”.

C’è da considerare anche che molte applicazioni di terze parti dipendono da SQL Server e dai driver interessati, introducendo potenzialmente un rischio nella catena di fornitura che va oltre gli utenti diretti di SQL Server.

Oltre all’applicazione della patch, gli amministratori di sistema possono risolvere la vulnerabilità installando l’ultima versione di Microsoft SQL Server e il driver Microsoft OLE DB 18 o 19.

Microsoft ha attribuito la scoperta di questa vulnerabilità al suo ricercatore Vladimir Aleksic, ma non ha fornito ulteriori dettagli su come sia stata resa pubblica.

Installiamo gli aggiornamenti Microsoft

L’analisi delle vulnerabilità evidenzia l’importanza di mantenere sempre aggiornati i propri sistemi e i software installati su di essi, soprattutto in un panorama tecnologico in rapida evoluzione dove le minacce alla sicurezza informatica sono sempre in agguato.

Windows è già configurato per controllare periodicamente la disponibilità di aggiornamenti critici e importanti, per cui non c’è bisogno di effettuare manualmente il controllo. Quando un aggiornamento è disponibile, viene scaricato e installato automaticamente, mantenendo il dispositivo aggiornato con le funzionalità e i miglioramenti di sicurezza più recenti.

Per verificare subito la disponibilità degli aggiornamenti Microsoft, in Windows 10 è sufficiente cliccare sul pulsante Start, quindi, spostarsi nella sezione Impostazioni/Aggiornamento e sicurezza/Windows Update e selezionare Controlla aggiornamenti.

Ricordiamo che Windows 10 completerà il suo ciclo di vita il prossimo 14 ottobre 2025: dopo questa data, Microsoft interromperà il rilascio gratuito di aggiornamenti software, assistenza tecnica e correzioni di sicurezza. Ma la stessa Microsoft ha comunicato che sarà ancora possibile ricevere gli update di sicurezza di Windows 10 per un altro anno.

In Windows 11, invece, è sufficiente cliccare sul pulsante Start, selezionare Impostazioni/Windows Update, cliccare su Verifica disponibilità aggiornamenti e procedere, in caso, con l’installazione delle patch.

In tutte le versioni recenti di Windows è comunque opportuno abilitare il servizio Windows Update dal Pannello di controllo e configurarlo affinché scarichi e installi automaticamente gli aggiornamenti rilasciati da Microsoft sia per il sistema operativo sia per le singole applicazioni.

Il consiglio è quello di eseguire un backup del sistema o quantomeno dei propri file e cartelle più importanti prima di applicare uno qualsiasi degli aggiornamenti presenti nel pacchetto cumulativo appena rilasciato.