Банк данных угроз безопасности информации (BDU) подтвердил информацию о критической уязвимости в компоненте Microsoft Security Response Center (MSHTML), который является частью движка Internet Explorer и используется многими приложениями Windows для отображения веб-контента. Уязвимость, зарегистрированная под идентификаторами BDU:2026-01700 и CVE-2026-21513, связана с нарушением механизма защиты данных (CWE-693). Эксплуатация этой уязвимости архитектуры позволяет удаленному злоумышленнику обойти ключевые функции безопасности операционной системы.
Детали уязвимости
По данным бюллетеня, уязвимость затрагивает практически все поддерживаемые на данный момент версии Windows, включая клиентские и серверные редакции. В список уязвимого программного обеспечения входят Windows 11 версий 23H2, 24H2, 25H2 и даже предварительная сборка 26H1. Кроме того, под угрозой находятся Windows 10, начиная с версии 1607, а также серверные операционные системы Windows Server 2012, 2016, 2019, 2022 и 2025. Таким образом, масштаб потенциального воздействия является чрезвычайно широким.
Уровень опасности классифицируется как критический согласно методологии CVSS 2.0, где базовая оценка достигает максимальных 10.0 баллов. В более современной системе CVSS 3.1 оценка несколько ниже, но остается высокой - 8.8 балла. Высокий рейтинг обусловлен тем, что для успешной атаки не требуются специальные привилегии или сложные условия. Однако важно отметить, что для эксплуатации уязвимости необходимо взаимодействие с пользователем, например, открытие специально созданного файла или посещение вредоносного сайта.
Успешная эксплуатация может привести к полному нарушению конфиденциальности, целостности и доступности системы. Злоумышленник получает возможность выполнять произвольный код в контексте текущего пользователя. Следовательно, если пользователь обладает правами администратора, атакующий может установить программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными правами. В корпоративной среде это создает риск компрометации всей сети.
Согласно BDU, для данной уязвимости уже существует эксплойт, что значительно повышает актуальность угрозы. Основным заявленным вектором атаки является несанкционированный сбор информации. Это означает, что группы киберпреступников или APT-группы могут активно использовать эту брешь для шпионажа и получения доступа к чувствительным данным.
К счастью, производитель, компания Microsoft, уже подтвердил уязвимость и выпустил исправления. Статус уязвимости в бюллетене указан как «устранена». Единственным надежным способом защиты является незамедлительное применение последних обновлений безопасности от Microsoft. Пользователям и системным администраторам необходимо обратиться к официальному руководству по обновлениям (MSRC) по ссылке, указанной в бюллетене, и установить все актуальные патчи.
Ситуация демонстрирует сохраняющуюся актуальность уязвимостей в наследственных компонентах операционных систем, таких как MSHTML. Несмотря на постепенный отказ от Internet Explorer, его движок продолжает использоваться в фоновом режиме для совместимости, что расширяет поверхность для потенциальных атак. Эксперты по кибербезопасности рекомендуют не только своевременно обновлять системы, но и, где это возможно, ограничивать использование устаревших технологий и применять принцип минимальных привилегий для пользовательских учетных записей. Это помогает снизить потенциальный ущерб даже в случае успешной эксплуатации неизвестных уязвимостей.
Ссылки
- https://bdu.fstec.ru/vul/2026-01700
- https://www.cve.org/CVERecord?id=CVE-2026-21513
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21513
