В Банке данных угроз безопасности информации (BDU) были опубликованы данные о двух новых критических уязвимостях в компоненте Bing Images поисковой системы Microsoft Bing. Эти уязвимости, получившие идентификаторы BDU:2026-04694 и BDU:2026-04695, представляют серьёзную угрозу безопасности. Эксплуатация любой из них позволяет удалённому злоумышленнику выполнить произвольный код на целевой системе. Корпорация Microsoft уже подтвердила наличие проблем и выпустила исправления, присвоив уязвимостям идентификаторы CVE-2026-32191 и CVE-2026-32194.
Детали уязвимостей
Техническая суть обеих уязвимостей заключается в недостаточной обработке вводимых пользователем данных. Первая уязвимость (BDU:2026-04694) классифицируется как "внедрение в команду операционной системы" (CWE-78). Проще говоря, злоумышленник может внедрить специальные символы или команды в поле поиска изображений. Если система не проводит их должной нейтрализации, эти команды могут быть исполнены на сервере. Вторая уязвимость (BDU:2026-04695) имеет схожую природу и относится к классу "внедрение в команду" (CWE-77), связанному с недостаточной очисткой данных.
Оценка по методологии CVSS подчёркивает исключительную опасность этих недостатков. По версии CVSS 3.1, обе уязвимости получили базовый балл 9.8 из 10, что соответствует критическому уровню опасности. Более ранняя версия CVSS 2.0 и вовсе присваивает им максимальные 10 баллов. Высокий балл обусловлен тем, что для атаки не требуется аутентификация (PR:N), не нужны действия от пользователя (UI:N), а эксплуатация возможна через сеть (AV:N). Успешная атака может привести к полной компрометации конфиденциальности, целостности и доступности системы (C:H/I:H/A:H).
На данный момент информация о наличии активных эксплойтов уточняется. Однако критический рейтинг и относительная простота эксплуатации через инъекцию делают эти уязвимости крайне привлекательными для киберпреступников. Теоретически, злоумышленники могли бы использовать подобные уязвимости для кражи данных, установки программ-вымогателей (ransomware) или создания точки постоянного присутствия (persistence) в корпоративной сети. Стоит отметить, что атака нацелена на серверный компонент Bing, а не на компьютеры обычных пользователей, напрямую использующих поисковик.
К счастью, производитель отреагировал оперативно. Согласно данным из BDU, статус обеих уязвимостей изменён на "устранена". Microsoft выпустила необходимые патчи, и основной рекомендацией для администраторов является обновление программного обеспечения. Актуальную информацию и руководства по устранению можно найти на официальном портале Microsoft Security Response Center по ссылкам, указанным для каждого CVE. Подобные уязвимости в компонентах крупных облачных сервисов служат важным напоминанием о необходимости постоянного мониторинга источников угроз и своевременного применения исправлений.
Таким образом, обнаруженные критические уязвимости в Bing Images демонстрируют классические риски, связанные с недостаточной валидацией пользовательского ввода в веб-приложениях. Несмотря на то что исправления уже доступны, инцидент подчёркивает, что даже сервисы технологических гигантов требуют непрерывной работы над безопасностью. Для организаций, глубоко интегрированных в экосистему Microsoft, данный случай должен стать поводом для проверки процессов управления обновлениями. В конечном итоге, быстрое устранение таких уязвимостей со стороны вендора и дисциплинированное обновление со стороны пользователей являются ключевыми элементами современной кибергигиены.
Ссылки
- https://bdu.fstec.ru/vul/2026-04694
- https://bdu.fstec.ru/vul/2026-04695
- https://www.cve.org/CVERecord?id=CVE-2026-32191
- https://www.cve.org/CVERecord?id=CVE-2026-32194
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-32191
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-32194
