Microsoft выпустила июньский пакет обновлений безопасности в рамках традиционного Patch Tuesday, устраняющий около 200 уязвимостей. В число исправленных проблем вошли три публично раскрытые уязвимости нулевого дня, однако признаков их активной эксплуатации зафиксировано не было, сообщает BleepingComputer.
Из общего числа закрытых уязвимостей 33 получили статус критических. Большая часть из них связана с риском удалённого выполнения кода, что представляет повышенную опасность для корпоративных сетей и серверной инфраструктуры. Значительную долю также составили ошибки, позволяющие злоумышленникам повышать уровень привилегий внутри системы.
Одним из наиболее заметных исправлений стала уязвимость CVE-2026-50507, известная под названием YellowKey. Она затрагивала механизм шифрования BitLocker и позволяла получить доступ к защищенным данным при наличии физического доступа к устройству. Уязвимость использовала особенности работы среды восстановления Windows на системах, где для защиты применялся только модуль TPM. В качестве дополнительной меры безопасности Microsoft рекомендует использовать аутентификацию через PIN-код.
Еще одна важная исправленная ошибка была обнаружена в компоненте HTTP.sys. Уязвимость, получившая название HTTP/2 Bomb, позволяла вызвать отказ в обслуживании отправкой специально сформированных запросов, приводящих к чрезмерному потреблению оперативной памяти. Для снижения риска подобных атак компания внедрила новый параметр реестра, ограничивающий количество заголовков в HTTP/2- и HTTP/3-запросах.
Третья публично раскрытая уязвимость нулевого дня затрагивала компонент Collaborative Translation Framework (CTFMON). Ошибка позволяла локальному пользователю повысить привилегии до уровня SYSTEM вследствие некорректной обработки ссылок при работе с файлами. Подробности обнаружения проблемы Microsoft не раскрывает.
Ранее сообщалось, что Microsoft ускорит работу «Проводника» в Windows 11.