Последние новости: Microsoft

Из них 6 zero-day или уязвимостей нулевого дня. В центре внимания — HTTP/2 Bomb, BitLocker и Office.

Microsoft предупредила о риске утечки CI/CD-секретов через Claude Code GitHub Action. Один комментарий в GitHub мог заставить Claude Code прочитать секреты сборочного конвейера

Azure Portal и спорный npm-пакет: исследователь говорит о RCE, MSRC — о неэксплуатируемом сценарии. Microsoft закрыла отчёт по dependency confusion, несмотря на callback из своей инфраструктуры

Современный фишинг всё реже выглядит как письмо с кривым доменом, ошибками в тексте и кнопкой «получить выигрыш». В корпоративной среде он маскируется под обычную работу: документ в SharePoint, голосовое сообщение, приглашение Teams, запрос на электронную подпись, ссылку из защитного шлюза …

Microsoft уточнила позицию по Nightmare-Eclipse: добросовестным исследователям не грозят иски

Не патч безопасности, а настройка системы: что принес KB5089573 в Windows 11

Microsoft выпустила рекомендации по защите от YellowKey — уязвимости нулевого дня в BitLocker, которая позволяет получить доступ к зашифрованному системному диску Windows при физическом доступе к устройству. Проблема получила идентификатор CVE-2026-45585. Полного патча пока нет: компания предлагает вручную изменить образ …

Telegram, OAuth и Microsoft 365: как Kali365 превратил фишинг в подписочный сервис. Kali365 бьёт по Outlook, Teams и OneDrive через легитимную страницу Microsoft

Microsoft закрыла SignSpace: сервис превращал малвар в доверенное ПО

Exchange Server снова под прицелом: Microsoft раскрыла zero-day в OWA, которую уже используют в атаках

Фишинг переехал в Teams: MuddyWater выдаёт себя за IT-поддержку и крадёт пароли прямо во время созвона

Многолетняя фишинговая кампания Operation HookedWing затронула более 500 организаций и привела к краже свыше 2000 учётных данных. Атака работала с 2022 года и била по авиации, энергетике, госсектору, критической инфраструктуре, логистике, финансам и ИТ. Злоумышленники использовали ссылки на GitHub Pages …

Американский центр CAISI при NIST заключил новые соглашения с Google DeepMind, Microsoft и xAI. Разработчики будут предоставлять доступ к ещё не выпущенным AI-моделям для проверок до публичного релиза. Оценивать будут не «качество ответов» в бытовом смысле, а риски для безопасности: …

Microsoft раскрыла и уже устранила три критические уязвимости раскрытия информации в Microsoft 365 Copilot и Copilot Chat внутри Edge. Все три CVE опубликованы 7 мая 2026 года, относятся к облачным сервисам и не требуют действий от пользователей или администраторов: исправления …

У Microsoft Edge проверяют работу менеджера паролей: исследователи обсуждают, как браузер обрабатывает учётные данные в памяти процесса и какие риски это создаёт на уже скомпрометированных устройствах.