Microsoft исправил десятки уязвимостей в Windows, Office и Azure

Обновления Microsoft Windows

Большое количество исправленных уязвимостей безопасности — 31 на этот раз — распределено по различным версиям Windows (10, 11, Server), для которых Microsoft по-прежнему предлагает обновления безопасности. Windows 10 по-прежнему указана как затронутая система, хотя официальная поддержка закончилась в октябре.

Две уязвимости нулевого дня Windows уже были общеизвестны и активно использовались злоумышленниками. Обе являются уязвимостями типа SFB (обход функций безопасности). Уязвимость CVE-2026-21510 в Проводнике Windows позволяет злоумышленнику обойти проверки безопасности SmartScreen и Проводника для выполнения произвольного кода. Пользователю достаточно открыть ярлык, чтобы вредоносный код был выполнен.

Те, кто думал, что наконец избавился от старого браузерного зомби Internet Explorer (IE), ошибаются. Он по-прежнему присутствует во всех версиях Windows, поскольку многие программы по-прежнему полагаются на определенные функции IE. Эти устаревшие проблемы со временем уменьшаются, но все еще существуют. Злоумышленники могут использовать уязвимость SFB CVE-2026-21513 для обхода проверок безопасности и получения несанкционированного доступа.

Уязвимость CVE-2026-21519 в Диспетчере окон рабочего стола (DWM) — это уже вторая уязвимость DWM в этом году, которая активно используется. Злоумышленники могут получить повышенные привилегии и выполнять код с системными разрешениями. Для этого они сочетают уязвимость DMW с уязвимостью RCE, которых предостаточно.

CVE-2026-21533 — еще одна уязвимость EoP (повышение привилегий). Она обнаружена в службе удаленного рабочего стола. Вопреки тому, что может предполагать затронутый компонент Windows, эта ошибка используется локально для получения повышенных привилегий. Как и в случае с уязвимостью DWM, в случае успеха злоумышленник может выполнять код с системными привилегиями. Компьютеры с уязвимой службой удаленного рабочего стола могут стать интересной промежуточной целью для бокового перемещения после проникновения в сеть.

Последняя уязвимость нулевого дня в этой серии — CVE-2026-21525, уязвимость DoS в диспетчере подключений удаленного доступа. Злоумышленник может вызвать сбой службы. Поскольку неясно, перезапустится ли она автоматически, злоумышленник потенциально может удерживать администратора, желающего вмешаться удаленно. В противном случае уязвимости DoS редко используются в более сложных сценариях атак.

Обновления Microsoft Office

Microsoft исправила шесть уязвимостей в своем семействе Office, все из которых классифицированы как высокорисковые. На первый взгляд, они не включают уязвимостей RCE (удаленное выполнение кода).

Однако уязвимость Word CVE-2026-21514, классифицированная как уязвимость нулевого дня и SFB (обход функций безопасности), также может быть использована для внедрения и выполнения кода. По крайней мере, окно предварительного просмотра не является вектором атаки — пользователь должен открыть подготовленный файл Office с помощью Word, чтобы успешная атака через эту уязвимость стала возможной.

Обновления Microsoft Azure

В февральском Patch Tuesday нет уязвимостей безопасности, классифицированных как критические для настольных компьютеров или серверов в локальных сетях, но есть пять уязвимостей безопасности, идентифицированных как критические, которые затрагивают облачную платформу Microsoft Azure.

Microsoft уже исправила три из них и находится в процессе их документирования. Две уязвимости затрагивают конфиденциальные контейнеры ACI (Azure Container Instances) и требуют принятия мер для их защиты.

Обновления Microsoft Edge

Последнее обновление безопасности Edge 144.0.3719.115 датировано 5 февраля и основано на Chromium 144.0.7559.133. Оно исправляет две уязвимости Chromium. Однако с тех пор Google выпустила Chrome и Chromium 145. Соответствующее обновление Edge ожидается к концу этой недели.

Microsoft также закрыла уязвимость спуфинга (CVE-2026-0391) в Edge 143 для Android. Это было сделано еще в декабре, но только сейчас публично документируется.