Сегодня 02 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Microsoft исправила три опасные уязвимости нулевого дня и ещё 200 багов в своём ПО

Microsoft выпустила июньское обновление в рамках Patch Tuesday («Вторник патчей»), устранив 200 уязвимостей, включая три публично раскрытые нулевого дня (zero-day). По сообщению BleepingComputer, данных об активном использовании уязвимостей нулевого дня в реальных атаках не зафиксировано.

 Источник изображения: xAI

Источник изображения: xAI

Среди исправленных ошибок 33 получили статус критических. Большинство из них (28 случаев) связаны с возможностью удалённого выполнения кода, что представляет особую опасность для инфраструктуры организаций. Остальные критические уязвимости касаются повышения привилегий и раскрытия конфиденциальной информации. Общая статистика показывает преобладание проблем, связанных с повышением прав доступа, — 65 случаев, а также уязвимостей удалённого выполнения кода — 55 случаев.

Отдельное внимание было уделено уязвимости с кодом CVE-2026-50507, позволяющей обойти защиту технологии шифрования BitLocker. Эта проблема, известная как YellowKey, была обнаружена исследователем Nightmare Eclipse и позволяет злоумышленникам получить доступ к зашифрованным данным при физическом доступе к устройству. Атака эксплуатирует среду восстановления Windows (WinRE) на системах, защищённых только модулем TPM. Для предотвращения подобных инцидентов Microsoft рекомендует включить дополнительную аутентификацию с помощью PIN-кода.

Ещё одна значимая проблема касается компонента HTTP.sys и получила название HTTP/2 Bomb. Уязвимость позволяет вызвать отказ в обслуживании сервера путём отправки специально сформированных запросов, которые приводят к неконтролируемому потреблению оперативной памяти. Для минимизации рисков Microsoft внедрила новый параметр реестра MaxHeadersCount, ограничивающий количество заголовков в запросах HTTP/2 и HTTP/3. Это должно предотвратить исчерпание ресурсов сервера.

Третья устранённая уязвимость нулевого дня связана с фреймворком Collaborative Translation Framework (CTFMON). Ошибка позволяла локальному авторизованному пользователю повышать свои привилегии до уровня SYSTEM из-за некорректной обработки ссылок перед доступом к файлам. Детали раскрытия этой уязвимости не разглашаются, однако её наличие, как отмечается в материале BleepingComputer, подчёркивает важность своевременной установки патчей даже для компонентов, не взаимодействующих напрямую с внешней сетью.

Помимо июньского пакета исправлений Microsoft, собственные обновления безопасности выпустил ряд других крупных компаний. Google закрыла 124 уязвимости в Android и одну активно эксплуатируемую ошибку в браузере Chrome. Компании Cisco, Check Point и Veeam также опубликовали патчи для критических ошибок, некоторые из которых уже использовались в реальных атаках с применением программ-вымогателей.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Студия создателя Deus Ex и System Shock перестанет делать игры — после провала Thick as Thieves в OtherSide осталось меньше десяти человек 8 мин.
Google не смогла отбиться от рекордного штрафа в €4,1 млрд в Европе 16 мин.
Кризис Xbox поставил под угрозу закрытия Obsidian — студию в ответе за Fallout: New Vegas, Pillars of Eternity и South Park: The Stick of Truth 59 мин.
Toyota собирается при помощи ИИ навести порядок в своей документации и терминологии 2 ч.
Некоторые смартфоны Google Pixel перестали издавать звуки, когда на них звонят 2 ч.
В сервисе Apple Hide My Email обнаружена уязвимость, позволяющая раскрыть настоящий адрес почты 2 ч.
Anthropic удалила из Claude скрытую защиту от дистилляции ИИ-моделей китайскими разработчиками 3 ч.
Представлено решение Curator.Scanner для поиска уязвимостей во внешней IT-инфраструктуре 4 ч.
Власти США предложили разработчикам ИИ создать единые стандарты для моделей 4 ч.
Министерство юстиции Бразилии рассекретило продолжение легендарной серии Nintendo 5 ч.
Amazon запустила достаточно спутников для запуска конкурента Starlink 19 мин.
ИИ подрывает экологические цели: выбросы углекислого газа у Amazon подскочили на 16 % в 2025 году 22 мин.
«Яндекс» разрабатывает новые ИИ-устройства — «Пин», «Хронум» и другие загадочные продукты 28 мин.
Инвестиции с кешбэком: NVIDIA вкладывается в создание ИИ-инфраструктуры партнёров в обмен на доход от её эксплуатации 2 ч.
Weave представила бытового робота Isaac 1 — он будет наводить порядок, пока хозяев нету дома 2 ч.
Будущая Xbox Project Helix, вероятно, будет лишена дисковода 2 ч.
В центре Москвы открыли новый флагманский магазин Xiaomi Store 2 ч.
Getty Images отказалась поглощать Shutterstock — помешал британский регулятор 2 ч.
Intel без лишнего шума подняла рекомендованные цены Core Ultra 7 270K Plus и Core Ultra 5 250K Plus 2 ч.
Microsoft сняла с производства бюджетные Surface Go и Surface Laptop Go — вместо них предлагает Dell XPS 13 2 ч.