Microsoft закрыла два десятка уязвимостей в инструментах для разработчиков

microsoft

Корпорация Microsoft выпустила внеплановые обновления безопасности для нескольких продуктов из линейки Developer Tools. Патчи закрывают 27 уязвимостей в средах разработки, включая .NET, Visual Studio, Visual Studio Code, GitHub Copilot и ASP.NET Core. Сведения об этом поступили из бюллетеня Microsoft Security Response Center (MSRC).

Детали уязвимостей

Самая высокая оценка по шкале CVSS v3 среди закрытых проблем - 8,8 балла. Такую степень опасности получили сразу несколько уязвимостей: CVE-2026-47300 и CVE-2026-47303 в ASP.NET Core (повышение привилегий), CVE-2026-41109 в GitHub Copilot и Visual Studio (обход механизмов защиты), а также CVE-2026-57102 в Visual Studio Code (тоже обход защиты). Столь же критичной признана уязвимость CVE-2026-50520 в Visual Studio Code с рейтингом 8,4 - она позволяет выполнять произвольный код.

Наиболее опасная уязвимость с точки зрения возможных последствий - CVE-2026-47305 в Visual Studio. Её базовый балл составляет 7,8, однако вектор атаки связан с удалённым выполнением кода. Для успешной эксплуатации злоумышленнику необходимо обманом заставить разработчика открыть вредоносный исходный файл и обработать его в среде разработки. Тот же сценарий характерен и для других уязвимостей, связанных с выполнением произвольного кода: CVE-2026-50646, CVE-2026-50649, CVE-2026-50650 в .NET Framework и .NET, а также CVE-2026-50646 в .NET Core.

В отдельную категорию выделены проблемы, ведущие к раскрытию конфиденциальной информации. Например, уязвимость CVE-2026-47282 (CVSS 6,5) затрагивает GitHub Copilot и Visual Studio Code: при определённых условиях злоумышленник, работающий в той же среде, может получить доступ к данным, не предназначенным для посторонних. Ещё одна уязвимость в .NET - CVE-2026-50659 (CVSS 6,5) - позволяет выдать себя за другого пользователя, что также ведёт к несанкционированному доступу к чувствительным данным.

Обширный блок составляют уязвимости, ведущие к отказу в обслуживании. Всего таких проблем закрыто восемь: CVE-2026-50524, CVE-2026-50527, CVE-2026-50648 в .NET Framework, CVE-2026-50506, CVE-2026-56170, CVE-2026-45646 в ASP.NET Core, CVE-2026-47302, CVE-2026-50525, CVE-2026-50651 в .NET и CVE-2026-57108 в .NET Core. Их рейтинг колеблется от 7,0 до 7,5. Успешная атака может привести к временной недоступности серверных приложений, написанных на платформе .NET.

Уязвимости, связанные с обходом механизмов защиты, представлены в Visual Studio Code (CVE-2026-45496 с баллом 5,5, CVE-2026-57101 с баллом 7,1, CVE-2026-57102 с баллом 8,8) и в .NET (CVE-2026-47304 с баллом 8,1, CVE-2026-50528 с баллом 8,2). Они позволяют атакующему обходить политики безопасности операционной системы или самого приложения. В случае с .NET речь идёт о возможности обхода проверок подлинности или контроля доступа.

Отдельно стоит упомянуть CVE-2026-50526 в .NET, оценённую в 7,0 баллов. Эта уязвимость классифицирована как манипуляция данными: злоумышленник может изменить содержимое обрабатываемых данных без авторизации.

Все перечисленные проблемы затрагивают широкий спектр продуктов Microsoft. В зоне риска - .NET 8.0, 9.0, 10.0 под управлением Windows, Linux и macOS, а также .NET Framework на Windows. Обновления требуют Visual Studio 2017, 2019, 2022, 2026 и Visual Studio Code. Дополнительно патчи вышли для расширения Copilot Chat в Visual Studio Code, библиотек Microsoft.AspNet.OData и Microsoft.AspNetCore.OData. Уязвимости в ASP.NET Core также актуальны для Azure-приложений, использующих эти компоненты.

Большинство уязвимостей требуют взаимодействия с пользователем. Атакующий должен убедить разработчика открыть специально подготовленный файл - будь то проект, модуль, расширение или исходный код. В условиях, когда сотрудники компании работают с типовыми шаблонами или скачивают код из ненадёжных источников, вероятность успешной атаки возрастает. При этом в некоторых случаях для эксплуатации достаточно, чтобы жертва просто импортировала пакет в проект.

Microsoft уже опубликовала исправления в центре обновлений и на портале MSRC. Установка патчей должна быть выполнена всеми, кто использует перечисленные продукты. Для Visual Studio и .NET обновления автоматически доставляются через встроенные механизмы, но для Visual Studio Code и расширений обновление может потребовать ручного запуска или перезапуска среды. Временных средств защиты (work-arounds) производитель не предлагает, поэтому единственная рекомендация - как можно скорее применить доступные обновления.

Ситуация в очередной раз напоминает, что инструменты разработки, будучи точкой входа для атак на цепочку поставок, требуют не меньшего внимания к безопасности, чем серверное или клиентское ПО. Закрытые уязвимости охватывают как критические риски выполнения кода, так и менее опасные, но всё же значимые проблемы с утечкой данных. Компаниям, использующим Microsoft Developer Tools, следует включить эти патчи в ближайшее окно обновлений и уведомить разработчиков о необходимости их установки.

Ссылки

Комментарии: 0