Microsoft verhelpt deze maand meerdere beveiligingslekken, waaronder één kwetsbaarheid die actief wordt misbruikt. Het gaat om een kwetsbaarheid in Windows-kernel (CVE-2025-62215), dat aanvallers de mogelijkheid geeft rechten te verhogen. De ernst van het lek is beoordeeld met een CVSS-score van 7,8.

Daarnaast heeft Microsoft verschillende kritieke kwetsbaarheden gedicht. Het gaat onder meer om een heap-based buffer overflow in de Microsoft Graphics Component (CVE-2025-60724), CVSS-score 9,8, die kwaadwillenden de mogelijkheid geeft code uit te voeren via het netwerk. Daarnaast is een ontbrekende autorisatie in Nuance PowerScribe 360 (CVE-2025-30398), CVSS-score 8,1, aangepakt, die aanvallers in staat stelde informatie te stelen via API-calls.

Een zogeheten use-after-free-fout in Microsoft Office-applicaties (CVE-2025-62199), CVSS-score 7,8, stelde aanvallers in staat lokaal code uit te voeren op een kwetsbaar werkstation. Ook is een use-after-free-fout in de Windows DirectX Graphics Kernel (CVE-2025-60716), CVSS-score 7,0, gedicht, die het mogelijk maakte rechten te verhogen. Tot slot dicht Microsoft een lek in Visual Studio, waarmee kwaadwillenden lokaal code kunnen uitvoeren (CVE-2025-62214), CVSS-score 6,7.

Andere belangrijke beveiligingslekken die zijn gedicht:

• CVE-2025-59512 – Maakt het ophogen van rechten mogelijk in het Customer Experience Improvement Program
• CVE-2025-60705 – Maakt het ophogen van rechten mogelijk in de Windows CSC-service
• CVE-2025-60719 – Maakt het ophogen van rechten mogelijk in de Windows-hulpfunctiedriver voor WinSock
• CVE-2025-62217 – Maakt het ophogen van rechten mogelijk in de Windows-hulpfunctiedriver voor WinSock
• CVE-2025-62213 – Maakt het ophogen van rechten mogelijk in de Windows-hulpfunctiedriver voor WinSock

Een overzicht van alle verholpen kwetsbaarheden is hier te vinden.