Корпорация Microsoft выпустила декабрьский пакет обновлений для своих инструментов разработки, закрыв одиннадцать уязвимостей. Среди них одна получила максимальную оценку CVSS (Common Vulnerability Scoring System - международная шкала критичности) 10,0. Речь идёт о бреши CVE-2026-42826 в Azure DevOps, которая открывает злоумышленнику доступ к чувствительным данным. Правда, эту уязвимость Microsoft уже исправила централизованно, и вендор сообщает, что дополнительных действий от пользователей не требуется. Однако остальные десять проблем требуют установки свежих патчей.
Детали уязвимостей
Самый большой блок обновлений затронул Visual Studio Code. В этом редакторе кода обнаружены четыре уязвимости. Наиболее опасная из них - CVE-2026-41613 с баллом 8,8 - ведёт к повышению привилегий. Другая, CVE-2026-41611 (7,8), позволяет выполнить произвольный код. CVE-2026-41610 (6,3) даёт возможность обойти механизмы защиты, а CVE-2026-41612 (5,5) - получить доступ к конфиденциальным данным. Таким образом, Visual Studio Code стал самой проблемной средой разработки в этом наборе исправлений.
Две критические уязвимости с оценкой 8,8 затронули Microsoft Data Formulator и связку GitHub Copilot с Visual Studio. В первом случае речь идёт о CVE-2026-41094, которая позволяет удалённо выполнить вредоносный код. Во втором - CVE-2026-41109, дающая возможность обойти защитные механизмы среды разработки. Оба дефекта потенциально опасны, так как атака через инструменты разработчика может привести к компрометации целых проектов.
Платформа .NET получила три обновления. CVE-2026-32177 и CVE-2026-35433 - обе с CVSS 7,3 - ведут к отказу в обслуживании (DoS - атака, делающая сервис недоступным) и повышению привилегий соответственно. Ещё одна уязвимость в .NET - CVE-2026-32175 - оценена в 4,3 балла и связана с подменой данных (несанкционированное изменение информации). Также закрыта брешь в ASP.NET Core: CVE-2026-42899 (7,5) позволяет вызвать отказ в обслуживании.
Все перечисленные уязвимости относятся к разным типам. Среди них - переполнение буфера (когда программа записывает данные за границы выделенной памяти), внедрение команд и кода (возможность исполнить произвольные инструкции на сервере), межсайтовый скриптинг (XSS - внедрение скриптов на доверенные страницы), обход пути (Path Traversal - получение доступа к файлам за пределами разрешённой директории) и другие. Подобные дефекты часто становятся причиной крупных инцидентов: от утечек исходного кода до полной остановки инфраструктуры.
Для разработчиков и команд, использующих инструменты Microsoft, ситуация означает, что необходимо как можно быстрее обновить IDE, фреймворки и платформы. В частности, под патчи попали .NET 8.0, 9.0 и 10.0 на всех поддерживаемых операционных системах (Windows, Linux, macOS), Visual Studio 2017, 2019, 2022 и 2026, а также сам Visual Studio Code и Azure DevOps. Обновления уже доступны через стандартные каналы - Центр обновлений Microsoft и портал MSRC.
Стоит отметить, что вендор не сообщает о случаях активной эксплуатации этих уязвимостей в реальных атаках. Тем не менее, критическая оценка для Azure DevOps и высокая распространённость Visual Studio Code и .NET делают установку патчей первоочередной задачей. Особенно это касается организаций, где инструменты разработки подключены к облачным сервисам и содержат доступ к репозиториям с коммерческим кодом. Промедление с обновлением может привести к тому, что злоумышленники получат контроль над всей цепочкой поставки программного обеспечения.
Microsoft традиционно рекомендует всем клиентам установить последние версии продуктов и применить обновления безопасности. Для большинства уязвимостей не предусмотрены обходные меры защиты (workarounds), поэтому выход только один - полное обновление среды. Тем, кто использует устаревшие версии.NET или Visual Studio, следует как можно скорее перейти на актуальные сборки. В случае с CVE-2026-42826 дополнительная установка не требуется, однако администраторам стоит убедиться, что их экземпляры Azure DevOps приведены к актуальной версии централизованно.
Таким образом, декабрьское исправление Microsoft охватывает широкий спектр инструментов, которыми пользуются миллионы разработчиков по всему миру. Каждая из одиннадцати уязвимостью может стать точкой входа для атак разного характера - от DoS до удалённого исполнения кода. И хотя некоторые дефекты кажутся не слишком опасными по шкале CVSS, их использование в комбинации с другими методами способно привести к серьёзным последствиям. Поэтому специалистам по информационной безопасности стоит включить эти обновления в ближайший регламент установки патчей.
Ссылки
