Перейти к содержанию

Microsoft исправила три опасные уязвимости нулевого дня и ещё 200 багов в своём ПО


Рекомендуемые сообщения

Опубликовано

Microsoft выпустила июньское обновление в рамках Patch Tuesday («Вторник патчей»), устранив 200 уязвимостей, включая три публично раскрытые нулевого дня (zero-day). По сообщению BleepingComputer, данных об активном использовании уязвимостей нулевого дня в реальных атаках не зафиксировано.

Среди исправленных ошибок 33 получили статус критических. Большинство из них (28 случаев) связаны с возможностью удалённого выполнения кода, что представляет особую опасность для инфраструктуры организаций. Остальные критические уязвимости касаются повышения привилегий и раскрытия конфиденциальной информации. 

Общая статистика показывает преобладание проблем, связанных с повышением прав доступа, — 65 случаев, а также уязвимостей удалённого выполнения кода — 55 случаев. Отдельное внимание было уделено уязвимости с кодом CVE-2026-50507, позволяющей обойти защиту технологии шифрования BitLocker. 

Эта проблема, известная как YellowKey, была обнаружена исследователем Nightmare Eclipse и позволяет злоумышленникам получить доступ к зашифрованным данным при физическом доступе к устройству. Атака эксплуатирует среду восстановления Windows (WinRE) на системах, защищённых только модулем TPM. 

Для предотвращения подобных инцидентов Microsoft рекомендует включить дополнительную аутентификацию с помощью PIN-кода. Ещё одна значимая проблема касается компонента HTTP.sys и получила название HTTP/2 Bomb. Уязвимость позволяет вызвать отказ в обслуживании сервера путём отправки специально сформированных запросов, которые приводят к неконтролируемому потреблению оперативной памяти.

Для минимизации рисков Microsoft внедрила новый параметр реестра MaxHeadersCount, ограничивающий количество заголовков в запросах HTTP/2 и HTTP/3. Это должно предотвратить исчерпание ресурсов сервера. Третья устранённая уязвимость нулевого дня связана с фреймворком Collaborative Translation Framework (CTFMON). 

Ошибка позволяла локальному авторизованному пользователю повышать свои привилегии до уровня SYSTEM из-за некорректной обработки ссылок перед доступом к файлам. Детали раскрытия этой уязвимости не разглашаются, однако её наличие, как отмечается в материале BleepingComputer, подчёркивает важность своевременной установки патчей даже для компонентов, не взаимодействующих напрямую с внешней сетью.

Помимо июньского пакета исправлений Microsoft, собственные обновления безопасности выпустил ряд других крупных компаний. Google закрыла 124 уязвимости в Android и одну активно эксплуатируемую ошибку в браузере Chrome. Компании Cisco, Check Point и Veeam также опубликовали патчи для критических ошибок, некоторые из которых уже использовались в реальных атаках с применением программ-вымогателей.

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйте новый аккаунт в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
×
×
  • Создать...