Корпорация Microsoft выпустила исправления для около 200 уязвимостей в рамках своего последнего ежемесячного выпуска Patch Tuesday, побив предыдущий рекорд почти в 170 общих уязвимостей и подверженностей (CVE), установленный в октябре 2025 года. Среди множества других, последнее обновление из Редмонда устраняет в общей сложности 32 критические CVE и три уязвимости нулевого дня. Дастин Чайлдс, руководитель отдела осведомленности об угрозах в Zero Day Initiative компании TrendAI, заявил: «Нас ждет лето с высокими ставками для кибербезопасности. Рекордный выпуск в июне… — это суровое предупреждение о том, что ИИ ускоряет обнаружение уязвимостей в неконтролируемых масштабах. Текущее число CVE, выпущенных Microsoft в этом году, превышает общее число CVE, выпущенных за весь 2018 год. Поразительно, что Microsoft может выпустить столько исправлений за один месяц, и я полагаю, многие тестировщики задаются вопросом о возможных проблемах с качеством». А с учетом добавления сотен CVE в Google Chrome и Microsoft Edge (Chromium) и других сторонних уязвимостей, общее число которых достигло почти 600, Крис Гёттль, вице-президент по управлению продуктами безопасности в Ivanti, заявил, что разговоры о «Апокалипсисе исправлений» (Patch Apocalypse) больше не являются необоснованными. «Мы находимся в Апокалипсисе исправлений. Апокалипсис исправлений наступил», — сказал Гёттль. «Это не попытка запугать. Это призвано обрисовать проблему, которую многие организации предвидели, но новое поколение LLM [больших языковых моделей] значительно ускорилось в первой половине 2026 года. «Поставщики будут устранять больше CVE с более высокой и непрерывной скоростью, чем мы когда-либо видели ранее. К сожалению, это также будет включать больше эксплойтов нулевого и n-го дня, чем наблюдалось ранее. Окно от выпуска исправления поставщиком до эксплуатации уже сократилось до пяти дней по данным разведки угроз за 2023 год». Гёттль отметил, что многие поставщики признали необходимость использования инструментов ИИ в своих исследованиях безопасности для выявления и устранения уязвимостей, при этом Oracle, Google Chrome и Mozilla увеличили темп своих обновлений. Остается увидеть, последует ли примеру Microsoft.
Уязвимости нулевого дня
Уязвимости нулевого дня этого месяца отслеживаются следующим образом, в числовом порядке: Все три эти уязвимости имеют рейтинг CVSS от шести до восьми, и все три были публично раскрыты, но пока нет сведений об их эксплуатации. Алекс Вовк, генеральный директор и соучредитель Action1, объяснил, как CVE-2026-45586 может позволить локальному аутентифицированному злоумышленнику с легкостью получить привилегии на уровне системы. «Проблема вызвана некорректным разрешением ссылок перед доступом к файлу, также известным как следование по ссылкам. Небольшой контроль может превратиться в полный контроль над системой, когда Windows следует по неверной ссылке в неподходящий момент», — сказал Вовк. «Доступ к системе может позволить установку вредоносного ПО, уклонение от защиты, кражу учетных данных, изменение данных и более глубокое перемещение по среде. Для бизнеса это может увеличить последствия фишинга, кражи учетных данных или компрометации стандартных учетных записей пользователей. «Это исправление следует считать приоритетным. Несмотря на то, что активная эксплуатация не зафиксирована, этот тип ошибки может превратить незначительную локальную компрометацию в полный контроль над конечной точкой», — добавил он. Между тем, CVE-2026-49160 в HTTP.sys связана с проблемой неконтролируемого потребления ресурсов, которая может позволить неаутентифицированному злоумышленнику вызвать отказ в обслуживании (DoS) по сети. «Хотя уязвимость не раскрывает данные и не позволяет выполнять код, она может нарушить работу служб, зависящих от затронутых систем Windows», — сказал президент и соучредитель Action1 Майк Уолтерс. «Успешная эксплуатация может нарушить работу веб-сервисов, внутренних приложений, API [интерфейсов прикладного программирования] и бизнес-систем, которые полагаются на затронутые службы HTTP в Windows. Сбои могут привести к простою, неудачным транзакциям, потере производительности, проблемам для клиентов и увеличению затрат на оперативное реагирование». Поскольку эксплуатация считается более вероятной, CVE-2026-49160 является еще одним основным кандидатом для приоритизации, особенно с учетом того, что она доступна по сети и не требует аутентификации. Наконец, CVE-2026-50507 в Windows BitLocker — возникшая из-за сбоя механизма защиты в том, как BitLocker обрабатывает шифрование устройств — позволяет злоумышленнику получить доступ к зашифрованным, сохраненным данным без необходимости ввода учетных данных, если у него есть физический доступ к устройству. Хотя необходимость физического доступа станет эффективным барьером для многих злоумышленников, потенциальное воздействие значительно, как отметил директор по исследованиям уязвимостей Action1 Джек Бицер. «На BitLocker часто полагаются для защиты конфиденциальных деловых и личных данных при потере или краже устройств или при доступе к ним неавторизованных лиц», — сказал он. «Успешный обход подрывает этот механизм безопасности и может привести к раскрытию конфиденциальной деловой информации, данных клиентов, интеллектуальной собственности, финансовых отчетов и регулируемых данных. «В средах, где шифрование конечных точек является требованием соответствия, эксплуатация может привести к регуляторным рискам, обязательствам по уведомлению о нарушениях, репутационному ущербу и финансовым потерям». Бицер рекомендовал компаниям с рассредоточенными мобильными парками и большим количеством удаленных или гибридных сотрудников приоритизировать исправление CVE-2026-50507.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Alex Scroxton
