Корпорация Microsoft выпустила внеплановые обновления безопасности для нескольких продуктов из линейки Developer Tools. Патчи закрывают 27 уязвимостей в средах разработки, включая .NET, Visual Studio, Visual Studio Code, GitHub Copilot и ASP.NET Core. Сведения об этом поступили из бюллетеня Microsoft Security Response Center (MSRC).
Детали уязвимостей
Самая высокая оценка по шкале CVSS v3 среди закрытых проблем - 8,8 балла. Такую степень опасности получили сразу несколько уязвимостей: CVE-2026-47300 и CVE-2026-47303 в ASP.NET Core (повышение привилегий), CVE-2026-41109 в GitHub Copilot и Visual Studio (обход механизмов защиты), а также CVE-2026-57102 в Visual Studio Code (тоже обход защиты). Столь же критичной признана уязвимость CVE-2026-50520 в Visual Studio Code с рейтингом 8,4 - она позволяет выполнять произвольный код.
Наиболее опасная уязвимость с точки зрения возможных последствий - CVE-2026-47305 в Visual Studio. Её базовый балл составляет 7,8, однако вектор атаки связан с удалённым выполнением кода. Для успешной эксплуатации злоумышленнику необходимо обманом заставить разработчика открыть вредоносный исходный файл и обработать его в среде разработки. Тот же сценарий характерен и для других уязвимостей, связанных с выполнением произвольного кода: CVE-2026-50646, CVE-2026-50649, CVE-2026-50650 в .NET Framework и .NET, а также CVE-2026-50646 в .NET Core.
В отдельную категорию выделены проблемы, ведущие к раскрытию конфиденциальной информации. Например, уязвимость CVE-2026-47282 (CVSS 6,5) затрагивает GitHub Copilot и Visual Studio Code: при определённых условиях злоумышленник, работающий в той же среде, может получить доступ к данным, не предназначенным для посторонних. Ещё одна уязвимость в .NET - CVE-2026-50659 (CVSS 6,5) - позволяет выдать себя за другого пользователя, что также ведёт к несанкционированному доступу к чувствительным данным.
Обширный блок составляют уязвимости, ведущие к отказу в обслуживании. Всего таких проблем закрыто восемь: CVE-2026-50524, CVE-2026-50527, CVE-2026-50648 в .NET Framework, CVE-2026-50506, CVE-2026-56170, CVE-2026-45646 в ASP.NET Core, CVE-2026-47302, CVE-2026-50525, CVE-2026-50651 в .NET и CVE-2026-57108 в .NET Core. Их рейтинг колеблется от 7,0 до 7,5. Успешная атака может привести к временной недоступности серверных приложений, написанных на платформе .NET.
Уязвимости, связанные с обходом механизмов защиты, представлены в Visual Studio Code (CVE-2026-45496 с баллом 5,5, CVE-2026-57101 с баллом 7,1, CVE-2026-57102 с баллом 8,8) и в .NET (CVE-2026-47304 с баллом 8,1, CVE-2026-50528 с баллом 8,2). Они позволяют атакующему обходить политики безопасности операционной системы или самого приложения. В случае с .NET речь идёт о возможности обхода проверок подлинности или контроля доступа.
Отдельно стоит упомянуть CVE-2026-50526 в .NET, оценённую в 7,0 баллов. Эта уязвимость классифицирована как манипуляция данными: злоумышленник может изменить содержимое обрабатываемых данных без авторизации.
Все перечисленные проблемы затрагивают широкий спектр продуктов Microsoft. В зоне риска - .NET 8.0, 9.0, 10.0 под управлением Windows, Linux и macOS, а также .NET Framework на Windows. Обновления требуют Visual Studio 2017, 2019, 2022, 2026 и Visual Studio Code. Дополнительно патчи вышли для расширения Copilot Chat в Visual Studio Code, библиотек Microsoft.AspNet.OData и Microsoft.AspNetCore.OData. Уязвимости в ASP.NET Core также актуальны для Azure-приложений, использующих эти компоненты.
Большинство уязвимостей требуют взаимодействия с пользователем. Атакующий должен убедить разработчика открыть специально подготовленный файл - будь то проект, модуль, расширение или исходный код. В условиях, когда сотрудники компании работают с типовыми шаблонами или скачивают код из ненадёжных источников, вероятность успешной атаки возрастает. При этом в некоторых случаях для эксплуатации достаточно, чтобы жертва просто импортировала пакет в проект.
Microsoft уже опубликовала исправления в центре обновлений и на портале MSRC. Установка патчей должна быть выполнена всеми, кто использует перечисленные продукты. Для Visual Studio и .NET обновления автоматически доставляются через встроенные механизмы, но для Visual Studio Code и расширений обновление может потребовать ручного запуска или перезапуска среды. Временных средств защиты (work-arounds) производитель не предлагает, поэтому единственная рекомендация - как можно скорее применить доступные обновления.
Ситуация в очередной раз напоминает, что инструменты разработки, будучи точкой входа для атак на цепочку поставок, требуют не меньшего внимания к безопасности, чем серверное или клиентское ПО. Закрытые уязвимости охватывают как критические риски выполнения кода, так и менее опасные, но всё же значимые проблемы с утечкой данных. Компаниям, использующим Microsoft Developer Tools, следует включить эти патчи в ближайшее окно обновлений и уведомить разработчиков о необходимости их установки.
Ссылки
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-41109
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45496
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45646
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-47282
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-47300
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-47302
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-47303
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-47304
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-47305
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-50506
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-50520
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-50524
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-50525
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-50526
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-50527
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-50528
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-50646
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-50648
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-50649
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-50650
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-50651
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-50659
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-56170
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-57101
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-57102
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-57108