Microsoft Rilis Patch Tuesday Juli 2025: Tambal 137 Celah Keamanan, Termasuk Satu Zero-Day di SQL Server

Pada Patch Tuesday bulan Juli 2025, Microsoft merilis pembaruan keamanan untuk menambal 137 celah keamanan di berbagai produknya. Dari total kerentanan tersebut, satu di antaranya adalah zero-day yang sudah dipublikasikan dan belum ada perbaikan sebelumnya—terjadi pada Microsoft SQL Server.

Selain itu, Microsoft juga menutup 14 celah kritis. Mayoritas dari celah ini memungkinkan penyerang untuk menjalankan kode jarak jauh (Remote Code Execution), termasuk pada Microsoft Office dan SharePoint yang hanya dengan membuka dokumen berbahaya atau melalui fitur preview bisa langsung disusupi.

Berikut rincian jumlah kerentanan berdasarkan kategori:

  • 53 celah Elevation of Privilege
  • 41 celah Remote Code Execution
  • 18 celah Information Disclosure
  • 8 celah Security Feature Bypass
  • 6 celah Denial of Service
  • 4 celah Spoofing

Zero-Day: SQL Server Bocorkan Data

Celah yang paling disorot bulan ini adalah CVE-2025-49719, celah Information Disclosure pada Microsoft SQL Server yang memungkinkan penyerang jarak jauh tanpa autentikasi untuk mengakses data dari memori yang belum diinisialisasi. Microsoft menyarankan admin segera memperbarui SQL Server ke versi terbaru dan menggunakan driver OLE DB versi 18 atau 19.

Celah Kritis di Microsoft Office dan SharePoint

Beberapa kerentanan kritis lainnya muncul di aplikasi Microsoft Office seperti Word, Excel, dan PowerPoint. Bahkan, celah di SharePoint (CVE-2025-49704) bisa dieksploitasi dari jarak jauh selama penyerang memiliki akun di platform tersebut. Sayangnya, update untuk Microsoft Office LTSC for Mac 2021 dan 2024 belum tersedia, namun akan segera dirilis.

Vendor Lain Juga Ikut Rilis Update

Tidak hanya Microsoft, beberapa vendor besar juga merilis pembaruan keamanan penting bulan ini:

  • AMD: Laporkan serangan Transient Scheduler baru.
  • Cisco: Tambal celah kredensial root SSH di Unified CM.
  • Fortinet: Perbarui keamanan untuk FortiOS dan produk lainnya.
  • Google: Tambal celah zero-day di Chrome (CVE-2025-6554).
  • SAP: Naikkan rating kerentanan di SAP SRM jadi 10/10.

Admin TI dan pengguna disarankan segera mengecek dan menginstal pembaruan yang tersedia untuk menghindari risiko dari potensi serangan siber, terutama terhadap sistem yang terhubung ke internet.