Patch Tuesday: Microsoft dicht actief uitgebuit lek en diverse kritieke kwetsbaarheden

In dit artikel:

Microsoft heeft deze maand meerdere kwetsbaarheden in Windows en aanverwante producten dichtgemaakt, waaronder één lek dat al actief wordt misbruikt. Het meest urgente probleem betreft een fout in de Windows-kernel (CVE-2025-62215, CVSS 7,8) waarmee aanvallers lokaal hun rechten konden verhogen. Naast dat actively exploited-lek loste Microsoft ook meerdere kritieke bugs op: een heap-based buffer overflow in de Microsoft Graphics Component (CVE-2025-60724, CVSS 9,8) die netwerkgerichte code-executie mogelijk maakte, en een ontbrekende autorisatie in Nuance PowerScribe 360 (CVE-2025-30398, CVSS 8,1) waardoor informatie via API-calls gestolen kon worden. Verder zijn use-after-free-zwakheden opgelost in Office (CVE-2025-62199, CVSS 7,8) en in de Windows DirectX Graphics Kernel (CVE-2025-60716, CVSS 7,0), plus een lokaal code-uitvoeringslek in Visual Studio (CVE-2025-62214, CVSS 6,7). Omdat sommige problemen netwerktoegang of reeds actief misbruik toelieten, raadt Microsoft aan updates direct te installeren; organisatieteams moeten vooral prioriteit geven aan de CVSS 9,8- en actief misbruikte kwetsbaarheden. Een volledige lijst van gepatchte CVE’s is te vinden in de maandelijkse advisering van Microsoft.