Microsoft выпустила июньский набор обновлений безопасности и закрыла около 200 уязвимостей в Windows, Office, Outlook, Exchange, Azure, Microsoft Edge-компонентах и других продуктах. Это один из самых крупных Patch Tuesday за последнее время: профильные издания называют выпуск рекордным по числу исправлений для ежемесячного цикла Microsoft.
Часть уязвимостей уже была публично раскрыта до выхода патчей. SecurityWeek пишет о трех таких проблемах и уточняет, что подтвержденной эксплуатации закрытых в июньском выпуске багов Microsoft не указала. BleepingComputer после обновления материала пишет уже о пяти публично раскрытых zero-day и одной уязвимости, которая использовалась в атаках.
Всего Microsoft закрыла 200 уязвимостей. По сводкам профильных изданий, среди них десятки критических проблем, включая уязвимости удаленного выполнения кода. В выпуск попали Windows, Microsoft Office, Outlook, Exchange Server, Azure Kubernetes Service, Azure Stack Edge, Device Health Attestation, Remote Desktop Client, Windows Routing and Remote Access Service и другие компоненты.
Большая часть опасных проблем относится к трем классам: удаленное выполнение кода, повышение привилегий и отказ в обслуживании. Первый класс дает атакующему возможность запустить код на чужой системе. Второй помогает вредоносной программе повысить обычные права до SYSTEM или другого высокого уровня. Третий может положить сервис или сервер, даже если данные не украдены.
Одна из самых обсуждаемых проблем — CVE-2026-49160 в HTTP.sys. Это системный компонент Windows, который участвует в обработке HTTP-запросов и используется в сценариях с IIS и другими службами. Уязвимость связана с отказом в обслуживании через HTTP/2.
Исследователи Calif описали технику HTTP/2 Bomb: атака совмещает HPACK-«бомбу» и удержание соединения через flow-control. HPACK — механизм сжатия заголовков в HTTP/2. В норме он экономит трафик. В атаке небольшой объем данных на проводе заставляет сервер выделять намного больше памяти. Затем соединение удерживается так, чтобы сервер не мог быстро освободить ресурсы. В результате, сервер тратит память и может начать тормозить или падать.
HTTP/2 Bomb затрагивает не только Microsoft. Исследователи проверяли NGINX, Apache httpd, Envoy, Pingora и IIS. У разных серверов разные варианты поведения и разные настройки защиты. Для инфраструктуры на Windows важно обновить системы, где используется IIS или службы на HTTP.sys, а также проверить настройки HTTP/2 и лимиты заголовков.
Еще одна уязвимость — CVE-2026-50507 в BitLocker. Эту проблему связывают с YellowKey. BitLocker — встроенный механизм шифрования дисков в Windows. Его задача — защитить данные, если ноутбук потеряли, украли или вынули накопитель.
Это не удаленная атака через интернет. В описанных сценариях атакующему нужен физический доступ к устройству и подготовленный носитель или манипуляции с загрузкой. История важна еще и из-за распространенной настройки TPM-only. В таком режиме BitLocker полагается на TPM без PIN-кода на старте. Это удобно для пользователей, но слабее против сценариев с физическим доступом. После подобных багов компаниям стоит проверить политики BitLocker и оценить переход на TPM+PIN для устройств с чувствительными данными.
Третья публично обсуждаемая проблема — CVE-2026-45586 в Windows Collaborative Translation Framework. Этот компонент связан с вводом текста, языковыми службами и процессом CTFMON, который большинство пользователей видит разве что в диспетчере задач.
Уязвимость относится к повышению привилегий. Сценарий типичный: атакующий уже получил ограниченный доступ к системе — например, через фишинг, вредоносный файл или уязвимое приложение. Затем локальная уязвимость помогает поднять права до SYSTEM.
SYSTEM — один из самых высоких уровней прав в Windows. После такого шага вредонос может закрепляться, отключать защиту, читать чужие файлы, менять настройки и двигаться дальше по сети. Поэтому локальные EoP-баги нельзя недооценивать: они часто становятся второй стадией атаки.
В июньском наборе есть исправления для Office, Outlook и Word. Офисные приложения по-прежнему удобны для атакующих: документ можно прислать в почту, мессенджер или корпоративный портал. Пользователь открывает файл или просматривает письмо, а дальше все зависит от конкретного обработчика формата и уровня защиты.
200 исправлений за один Patch Tuesday — много даже для Microsoft. Часть числа объясняется широкой линейкой продуктов: Windows, Office, Azure, серверные роли, клиенты удалённого доступа, облачные компоненты, инструменты разработчика и встроенные зависимости.
Ещё одна причина — рост внимания к уязвимостям, найденным с помощью автоматизированного анализа и ИИ-инструментов. В индустрии становится больше отчётов, где исследователи используют LLM и fuzzing для поиска нестандартных входов. HTTP/2 Bomb как раз показывает эту тенденцию: старая идея сжатия и удержания соединения получила новую практическую упаковку и затронула сразу несколько популярных серверов.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
