В конце февраля 2026 года были опубликованы данные о четырёх критических уязвимостях в популярном кроссплатформенном клиенте для удалённого рабочего стола FreeRDP. Согласно записям в Банке данных угроз безопасности информации (BDU), эти дефекты затрагивают, в частности, отечественную операционную систему АЛЬТ СП 10 от компании «ИВК». Уязвимости, получившие идентификаторы BDU:2026-04146, BDU:2026-04147, BDU:2026-04149 и BDU:2026-04150 (CVE-2026-25952, CVE-2026-25953, CVE-2026-25955 и CVE-2026-25997), оцениваются по шкале CVSS максимальным баллом 10.0 для версии 2.0 и 9.8 для версии 3.1, что указывает на критический уровень опасности.
Детали уязвимостей
Все обнаруженные проблемы относятся к одному классу ошибок программирования, известному как Use-After-Free (UAF, использование после освобождения, CWE-416). Данный тип уязвимости возникает, когда программа продолжает использовать указатель на область памяти после того, как эта память была освобождена. В результате злоумышленник может манипулировать содержимым этой перераспределенной памяти для выполнения произвольного кода. Конкретно в FreeRDP ошибки были обнаружены в функциях, отвечающих за обработку окон и буфера обмена в клиенте для графической подсистемы X11: "xf_SetWindowMinMaxInfo()", "xf_rail_get_window()", "xf_AppUpdateWindowFromSurface()" и "xf_clipboard_format_equal()".
Эксплуатация любой из этих уязвимостей позволяет удаленному злоумышленнику, не имеющему легитимных учетных данных, получить полный контроль над целевой системой. Таким образом, под угрозу ставятся все три ключевых принципа информационной безопасности: конфиденциальность, целостность и доступность данных. Национальный институт стандартов и технологий США (NIST) присвоил связанным с данными дефектам идентификаторы CVE-2026-25952, CVE-2026-25953, CVE-2026-25955 и CVE-2026-25997. Базовые оценки CVSS 3.1 для всех уязвимостей составляют 9.8 баллов из 10, что соответствует критическому уровню опасности.
Особую значимость инциденту придает тот факт, что в списке уязвимого программного обеспечения фигурирует операционная система АЛЬТ СП 10. Это означает, что пользователи данной ОС, использующие клиент FreeRDP для подключения к удаленным рабочим столам, находятся в зоне риска. Стоит отметить, что на момент публикации новости эксплойты для атак уже существуют в открытом доступе, что многократно увеличивает вероятность реальных инцидентов. Злоумышленники могут использовать подобные уязвимости для проникновения в корпоративные сети, установки вредоносного ПО, включая программы-вымогатели (ransomware), или кражи конфиденциальной информации.
К счастью, разработчики FreeRDP оперативно отреагировали на обнаруженные проблемы. Уязвимости были подтверждены и устранены в версии 3.23.0 клиента. Исправления были внесены в исходный код, и подробная информация опубликована в соответствующих бюллетенях безопасности на GitHub. Пользователям FreeRDP настоятельно рекомендуется немедленно обновить свое программное обеспечение до актуальной версии.
Для пользователей операционной системы АЛЬТ СП 10 источником исправлений является официальный публичный репозиторий обновлений безопасности. Компания АО «ИВК» интегрировала патчи FreeRDP в свои пакеты. Следовательно, установка последних обновлений через стандартный менеджер пакетов системы полностью закрывает описанные уязвимости. Администраторам следует проверить и применить все доступные обновления безопасности для компонента "freerdp".
Данный случай наглядно демонстрирует важность своевременного обновления программного обеспечения, особенно когда речь идет о критически важных компонентах, таким как клиенты удаленного доступа. Кроме того, он подчеркивает глобальную взаимосвязь программного стека: уязвимость в международном проекте с открытым исходным кодом, таком как FreeRDP, немедленно отражается на безопасности национальных продуктов, которые его используют. Регулярный мониторинг источников, таких как BDU и базы данных CVE, а также быстрое внедрение патчей остаются основными мерами защиты от подобных угроз.
Ссылки
- https://bdu.fstec.ru/vul/2026-04146
- https://bdu.fstec.ru/vul/2026-04147
- https://bdu.fstec.ru/vul/2026-04149
- https://bdu.fstec.ru/vul/2026-04150
- https://www.cve.org/CVERecord?id=CVE-2026-25952
- https://www.cve.org/CVERecord?id=CVE-2026-25953
- https://www.cve.org/CVERecord?id=CVE-2026-25955
- https://www.cve.org/CVERecord?id=CVE-2026-25997
- https://altsp.su/obnovleniya-bezopasnosti/
- https://github.com/FreeRDP/FreeRDP/security/advisories/GHSA-cgqm-cwjg-7w9x
- https://github.com/FreeRDP/FreeRDP/security/advisories/GHSA-p6rq-rxpc-rh3p
- https://github.com/FreeRDP/FreeRDP/security/advisories/GHSA-4g54-x8v7-559x
- https://github.com/FreeRDP/FreeRDP/security/advisories/GHSA-q5j3-m6jf-3jq4
