Очередной "вторник исправлений" от Microsoft выдался на редкость насыщенным. В этот раз компания закрыла сразу 204 уязвимости, из которых 38 признаны критическими. Три из них были раскрыты ещё до выхода патча, а шесть касаются облачных решений и не требуют от пользователя никаких действий. Кроме того, в браузер Edge были включены исправления для 360 уязвимостей, затрагивающих движок Chromium. Этот внушительный объём, по мнению экспертов, хорошо иллюстрирует, как инструменты искусственного интеллекта ускоряют поиск ошибок в коде.
Наиболее интересные уязвимости
Среди наиболее заметных уязвимостей выделяется CVE-2026-49160. Она была обнародована неделю назад и связана с алгоритмом сжатия HPACK, используемым в протоколах HTTP/2 и HTTP/3. Проблема заключается в том, что злоумышленник может отправить специально сформированную "бомбу сжатия", которая вызывает чрезмерное потребление ресурсов сервера. Под ударом оказались многие реализации HTTP/2. Microsoft решила проблему, добавив в реестр параметр MaxHeadersCount, который ограничивает объём выделяемой памяти. Важно подчеркнуть: эта уязвимость затрагивает не только продукты Microsoft, но и широкий круг веб-серверов и промежуточного ПО, поэтому администраторам стоит проверить свои системы независимо от используемого вендора.
Ещё одна критическая уязвимость - CVE-2026-47291. Она поражает тот же компонент, что и предыдущая, а именно серверный движок http.sys. Ошибка целочисленного переполнения позволяет удалённо выполнить код, если отправить системе запрос чрезмерного размера. Microsoft рекомендует в качестве временной меры ограничить параметр MaxRequestBytes, пока обновление не установлено. Этот патч следует применить в первую очередь на всех публичных веб-серверах под управлением Windows.
Третья уязвимость, CVE-2026-45648, затрагивает службы каталогов Active Directory (серверную службу, управляющую учётными записями и доступом в корпоративных сетях). Речь идёт о стековом переполнении буфера. Однако, в отличие от предыдущих, для успешной атаки требуется аутентификация (подтверждение прав доступа). Microsoft оценивает вероятность создания рабочего эксплойта как низкую. Тем не менее организации, использующие Active Directory, должны включить этот патч в свой план обновлений, не откладывая на долгий срок.
Отдельного внимания заслуживают три уязвимости, связанные с обходом функций безопасности BitLocker (CVE-2026-45655, CVE-2026-45658, CVE-2026-50507). Одна из них уже была публично известна. Компания приписывает открытие анонимному исследователю, и, по всей видимости, речь идёт о группе уязвимостей, известной как Nightmare Eclipse. Хотя детали атак пока не раскрыты, сам факт наличия публично известной проблемы шифрования требует оперативного применения обновлений, особенно на устройствах, где хранятся конфиденциальные данные.
Не обошлось и без критических проблем в офисном пакете Microsoft Office, а также в программах Outlook (почтовый клиент) и Word (текстовый редактор). Эти уязвимости могут быть использованы для удалённого выполнения кода при открытии вредоносного документа или письма. Как обычно, пользователям следует остерегаться подозрительных вложений и ссылок, а администраторам - как можно скорее развернуть патчи через центры обновлений.
Ссылки
