В Банке данных угроз безопасности информации (BDU) была зарегистрирована критическая уязвимость поисковой системы Microsoft Bing, получившая идентификаторы BDU:2026-06878 и CVE-2026-33819. Проблема связана с недостатками механизма десериализации - процесса преобразования двоичных данных обратно в объекты программы. Ошибка относится к типу CWE-502, то есть восстановление в памяти недостоверных данных. Эксплуатация этой уязвимости позволяет злоумышленнику, действующему удалённо, выполнить произвольный код на серверах Bing.
Детали уязвимости
Компания Microsoft уже подтвердила наличие проблемы и выпустила обновление для её устранения. Ссылка на рекомендации производителя доступна на портале MSRC. Согласно базе оценки критичности CVSS, обе версии - вторая и третья - присвоили уязвимости максимальный балл 10, что говорит о высочайшей степени опасности. Вектор атаки сетевой, сложность низкая, для эксплуатации не требуются предварительные привилегии или взаимодействие с пользователем. Более того, уязвимость способна скомпрометировать не только саму систему, но и другие связанные компоненты.
Поисковая система Bing входит в тройку самых популярных в мире. Её используют миллионы людей для ежедневного поиска информации. Корпоративные клиенты и государственные учреждения также полагаются на Bing в рамках экосистемы Microsoft. Уязвимость такого уровня позволяет злоумышленнику внедрить вредоносный код прямо на серверы поисковика.
Механизм десериализации - это техническая деталь, которую стоит объяснить простыми словами. Представьте, что программа упаковывает данные в компактный формат для передачи по сети, а затем распаковывает их обратно. Если в этом процессе есть ошибка, злоумышленник может подменить "упакованные" данные так, что при распаковке они превратятся в вредоносный код. Система доверяет этим данным, потому что не проверяет их корректность. Именно такой дефект обнаружили в Bing.
Для эксплуатации уязвимости нарушителю достаточно отправить специально сформированный запрос к поисковому серверу. Сервер обработает его, запустит десериализацию, и в память загрузится произвольный код.
Последствия могут быть серьёзными. Прежде всего, это утечка данных пользователей. Bing хранит историю поиска, геолокацию, IP-адреса и другую личную информацию. Если злоумышленник получит доступ к этим данным, он сможет использовать их для таргетированных атак или продать в даркнете. Кроме того, через скомпрометированный сервер можно заразить конечных пользователей: например, подменив ссылки в результатах поиска на вредоносные ресурсы. Это особенно опасно для корпоративных клиентов, которые доверяют Bing как части рабочего процесса.
Ещё один аспект - репутационный ущерб для Microsoft. Компания уже не раз сталкивалась с критическими уязвимостями в своих продуктах, но для облачного сервиса такого масштаба проблема особенно болезненна. Пользователи ожидают от поисковика безупречной безопасности, ведь он обрабатывает миллионы запросов в сутки.
Что делать специалистам по информационной безопасности? Прежде всего, убедиться, что на стороне клиента установлены все последние обновления браузера и системных компонентов Microsoft. Однако основная ответственность лежит на корпорации: она уже выпустила патч для серверной части Bing. Обычным пользователям не нужно предпринимать дополнительных действий, кроме стандартных правил безопасности: не переходить по сомнительным ссылкам, использовать антивирусное ПО и своевременно обновлять программы.
В итоге мы имеем дело с классическим примером опасной уязвимости в облачном сервисе. Ошибка десериализации - не редкость в веб-приложениях, но её проявление в таком продукте, как Bing, заслуживает пристального внимания. Максимальная оценка CVSS подчёркивает, что защита от этой угрозы должна стоять на первом месте у любой компании, использующей экосистему Microsoft. На фоне растущего числа атак на цепочки поставок и доверенные сервисы подобные инциденты напоминают: даже крупные корпорации не застрахованы от ошибок в коде. Поэтому бдительность и своевременное обновление остаются главными инструментами защиты.
Ссылки
- https://bdu.fstec.ru/vul/2026-06878
- https://www.cve.org/CVERecord?id=CVE-2026-33819
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33819
