Microsoft виправила три небезпечні вразливості нульового дня та ще 200 багів у своєму програмному забезпеченні

Microsoft випустила червневе оновлення в рамках Patch Tuesday («Вівторок патчів»), усунувши 200 вразливостей, включаючи три публічно розкриті нульового дня (zero-day). За повідомленням BleepingComputer, даних про активне використання вразливостей нульового дня в реальних атаках не зафіксовано.

Джерело зображення: xAI

Серед виправлених помилок 33 отримали статус критичних. Більшість з них (28 випадків) пов'язані з можливістю віддаленого виконання коду, що становить особливу небезпеку для інфраструктури організацій. Інші критичні вразливості стосуються підвищення привілеїв і розкриття конфіденційної інформації. Загальна статистика показує переважання проблем, пов'язаних з підвищенням прав доступу, — 65 випадків, а також вразливостей віддаленого виконання коду — 55 випадків.

Окрему увагу було приділено вразливості з кодом CVE-2026-50507, що дозволяє обійти захист технології шифрування BitLocker. Ця проблема, відома як YellowKey, була виявлена дослідником Nightmare Eclipse і дозволяє зловмисникам отримати доступ до зашифрованих даних при фізичному доступі до пристрою. Атака експлуатує середовище відновлення Windows (WinRE) на системах, захищених лише модулем TPM. Для запобігання подібним інцидентам Microsoft рекомендує увімкнути додаткову аутентифікацію за допомогою PIN-коду.

Ще одна значима проблема стосується компонента HTTP.sys і отримала назву HTTP/2 Bomb. Вразливість дозволяє викликати відмову в обслуговуванні сервера шляхом надсилання спеціально сформованих запитів, які призводять до неконтрольованого споживання оперативної пам'яті. Для мінімізації ризиків Microsoft впровадила новий параметр реєстру MaxHeadersCount, що обмежує кількість заголовків у запитах HTTP/2 і HTTP/3. Це має запобігти виснаженню ресурсів сервера.

Третя усунута вразливість нульового дня пов'язана з фреймворком Collaborative Translation Framework (CTFMON). Помилка дозволяла локальному авторизованому користувачу підвищувати свої привілеї до рівня SYSTEM через некоректну обробку посилань перед доступом до файлів. Деталі розкриття цієї вразливості не розголошуються, однак її наявність, як зазначається в матеріалі BleepingComputer, підкреслює важливість своєчасної установки патчів навіть для компонентів, що не взаємодіють безпосередньо з зовнішньою мережею.

Окрім червневого пакета виправлень Microsoft, власні оновлення безпеки випустили ряд інших великих компаній. Google закрила 124 вразливості в Android і одну активно експлуатовану помилку в браузері Chrome. Компанії Cisco, Check Point і Veeam також опублікували патчі для критичних помилок, деякі з яких вже використовувалися в реальних атаках із застосуванням програм-вимогателів.

Хочеш дізнатися більше — читай відгуки