10 июня 2026
Microsoft випустила червневе оновлення в рамках Patch Tuesday («Вівторок патчів»), усунувши 200 вразливостей, включаючи три публічно розкриті нульового дня (zero-day). За повідомленням BleepingComputer, даних про активне використання вразливостей нульового дня в реальних атаках не зафіксовано.
Джерело зображення: xAI
Серед виправлених помилок 33 отримали статус критичних. Більшість з них (28 випадків) пов'язані з можливістю віддаленого виконання коду, що становить особливу небезпеку для інфраструктури організацій. Інші критичні вразливості стосуються підвищення привілеїв і розкриття конфіденційної інформації. Загальна статистика показує переважання проблем, пов'язаних з підвищенням прав доступу, — 65 випадків, а також вразливостей віддаленого виконання коду — 55 випадків.
Окрему увагу було приділено вразливості з кодом CVE-2026-50507, що дозволяє обійти захист технології шифрування BitLocker. Ця проблема, відома як YellowKey, була виявлена дослідником Nightmare Eclipse і дозволяє зловмисникам отримати доступ до зашифрованих даних при фізичному доступі до пристрою. Атака експлуатує середовище відновлення Windows (WinRE) на системах, захищених лише модулем TPM. Для запобігання подібним інцидентам Microsoft рекомендує увімкнути додаткову аутентифікацію за допомогою PIN-коду.
Ще одна значима проблема стосується компонента HTTP.sys і отримала назву HTTP/2 Bomb. Вразливість дозволяє викликати відмову в обслуговуванні сервера шляхом надсилання спеціально сформованих запитів, які призводять до неконтрольованого споживання оперативної пам'яті. Для мінімізації ризиків Microsoft впровадила новий параметр реєстру MaxHeadersCount, що обмежує кількість заголовків у запитах HTTP/2 і HTTP/3. Це має запобігти виснаженню ресурсів сервера.
Третя усунута вразливість нульового дня пов'язана з фреймворком Collaborative Translation Framework (CTFMON). Помилка дозволяла локальному авторизованому користувачу підвищувати свої привілеї до рівня SYSTEM через некоректну обробку посилань перед доступом до файлів. Деталі розкриття цієї вразливості не розголошуються, однак її наявність, як зазначається в матеріалі BleepingComputer, підкреслює важливість своєчасної установки патчів навіть для компонентів, що не взаємодіють безпосередньо з зовнішньою мережею.
Окрім червневого пакета виправлень Microsoft, власні оновлення безпеки випустили ряд інших великих компаній. Google закрила 124 вразливості в Android і одну активно експлуатовану помилку в браузері Chrome. Компанії Cisco, Check Point і Veeam також опублікували патчі для критичних помилок, деякі з яких вже використовувалися в реальних атаках із застосуванням програм-вимогателів.
Хочеш дізнатися більше — читай відгуки
← Вернуться на предыдущую страницу
Роботодавці, які звільнили працівників через впровадження штучного інтелекту, починають про це шкодувати 2 июля 2026
Сформоване у роботодавців на фоні буму штучного інтелекту уявлення про те, що штучний інтелект може «робити все», швидко змінюється, і вони знову починають наймати співробітників для просування свого бізнесу. Один із останніх прикладів — автомобілебудівник Ford, який знову наймає сотні досвідчених інженерів для вирішення проблем якості, з якими не впоралися автоматизовані системи, пише CNBC.
Не мав водійського посвідчення: зʼявились нові подробиці ДТП з 21-річним водієм BMW, який у Києві протаранив п'ять авто. Фото та відео Обставини та причини аварії встановлять слідчі
Вперше у чорному кольорі: опубліковано нові зображення складаного iPhone 1 июля 2026
Вперше у чорному кольорі: опубліковано нові зображення складаного iPhone