Вчера, 10 февраля, прошел Patch Tuesday. Microsoft выпустила обновления безопасности для устранения 58 новых уязвимостей.
Помимо Windows и Office, затронуты также Exchange Server, Internet Explorer, Azure и Подсистема Windows для Linux (WSL). Шесть уязвимостей нулевого дня уже активно используются злоумышленниками, а пять уязвимостей классифицированы как критические.
Следующий Patch Tuesday ожидается 10 марта 2026 года.
Обновления Microsoft Windows
Большое количество исправленных уязвимостей безопасности — 31 на этот раз — распределено по различным версиям Windows (10, 11, Server), для которых Microsoft по-прежнему предлагает обновления безопасности. Windows 10 по-прежнему указана как затронутая система, хотя официальная поддержка закончилась в октябре.
Две уязвимости нулевого дня Windows уже были общеизвестны и активно использовались злоумышленниками. Обе являются уязвимостями типа SFB (обход функций безопасности). Уязвимость CVE-2026-21510 в Проводнике Windows позволяет злоумышленнику обойти проверки безопасности SmartScreen и Проводника для выполнения произвольного кода. Пользователю достаточно открыть ярлык, чтобы вредоносный код был выполнен.
Те, кто думал, что наконец избавился от старого браузерного зомби Internet Explorer (IE), ошибаются. Он по-прежнему присутствует во всех версиях Windows, поскольку многие программы по-прежнему полагаются на определенные функции IE. Эти устаревшие проблемы со временем уменьшаются, но все еще существуют. Злоумышленники могут использовать уязвимость SFB CVE-2026-21513 для обхода проверок безопасности и получения несанкционированного доступа.
Уязвимость CVE-2026-21519 в Диспетчере окон рабочего стола (DWM) — это уже вторая уязвимость DWM в этом году, которая активно используется. Злоумышленники могут получить повышенные привилегии и выполнять код с системными разрешениями. Для этого они сочетают уязвимость DMW с уязвимостью RCE, которых предостаточно.
CVE-2026-21533 — еще одна уязвимость EoP (повышение привилегий). Она обнаружена в службе удаленного рабочего стола. Вопреки тому, что может предполагать затронутый компонент Windows, эта ошибка используется локально для получения повышенных привилегий. Как и в случае с уязвимостью DWM, в случае успеха злоумышленник может выполнять код с системными привилегиями. Компьютеры с уязвимой службой удаленного рабочего стола могут стать интересной промежуточной целью для бокового перемещения после проникновения в сеть.
Последняя уязвимость нулевого дня в этой серии — CVE-2026-21525, уязвимость DoS в диспетчере подключений удаленного доступа. Злоумышленник может вызвать сбой службы. Поскольку неясно, перезапустится ли она автоматически, злоумышленник потенциально может удерживать администратора, желающего вмешаться удаленно. В противном случае уязвимости DoS редко используются в более сложных сценариях атак.
Обновления Microsoft Office
Microsoft исправила шесть уязвимостей в своем семействе Office, все из которых классифицированы как высокорисковые. На первый взгляд, они не включают уязвимостей RCE (удаленное выполнение кода).
Однако уязвимость Word CVE-2026-21514, классифицированная как уязвимость нулевого дня и SFB (обход функций безопасности), также может быть использована для внедрения и выполнения кода. По крайней мере, окно предварительного просмотра не является вектором атаки — пользователь должен открыть подготовленный файл Office с помощью Word, чтобы успешная атака через эту уязвимость стала возможной.
Обновления Microsoft Azure
В февральском Patch Tuesday нет уязвимостей безопасности, классифицированных как критические для настольных компьютеров или серверов в локальных сетях, но есть пять уязвимостей безопасности, идентифицированных как критические, которые затрагивают облачную платформу Microsoft Azure.
Microsoft уже исправила три из них и находится в процессе их документирования. Две уязвимости затрагивают конфиденциальные контейнеры ACI (Azure Container Instances) и требуют принятия мер для их защиты.
Обновления Microsoft Edge
Последнее обновление безопасности Edge 144.0.3719.115 датировано 5 февраля и основано на Chromium 144.0.7559.133. Оно исправляет две уязвимости Chromium. Однако с тех пор Google выпустила Chrome и Chromium 145. Соответствующее обновление Edge ожидается к концу этой недели.
Microsoft также закрыла уязвимость спуфинга (CVE-2026-0391) в Edge 143 для Android. Это было сделано еще в декабре, но только сейчас публично документируется.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Frank Ziemann




