«Вторник Патчей», 13 мая 2025 года: Плановые обновления безопасности для Windows 11 и Windows 10

2025-05-12 6024 комментарии
13 мая 2025 года в 20:00 (по МСК), во «Вторник Патчей» компания Microsoft выпустит новые обновления безопасности для всех поддерживаемых операционных систем, включая Windows 11, Windows 10 и Windows Server 2025 (LTSC)

Апрель оказался насыщенным месяцем для сферы кибербезопасности. «Вторник Патчей» прошел рано — 8 апреля, в самую раннюю возможную дату месяца. Было устранено множество уязвимостей: 84 в Windows 11 и 87 в Windows 10 и в соответствующих серверных версиях этих систем. В то же время лишь одна уязвимость повышения привилегий с идентификатором CVE-2025-29824 эксплуатировалась в реальных атаках.

Официальные ISO-образы Windows 11 и Windows 10 (апрель 2025)

ОС Windows Сборка Версия Канал Обновление ISO-образы Доступно
Windows 11 26100.3775 24H2 Stable KB5055523 ISO (MS) 2025-04-08
Windows 10 19045.5737 22H2 Stable KB5055518 ISO (MS) 2025-04-08
Windows 11 22631.5189 23H2 Stable KB5055528 ISO (MS) 2025-04-08

Кризис и продление программы CVE: что дальше?

После этого последовали несколько напряженных недель: MITRE объявила, что прекращает поддержку программы CVE из-за окончания контракта и сокращения финансирования. Эта программа, управляемая MITRE на протяжении 25 лет при поддержке правительства США (через CISA), тесно связана с Национальной базой уязвимостей (NVD), поддерживаемой NIST. После пары дней неопределенности контракт был продлен на 11 месяцев.

Программа CVE — ключевой элемент системы NVD, куда NIST добавляет подробную информацию по каждой уязвимости: механизм работы, затронутое ПО и способы устранения. Глобальное значение CVE не вызывает сомнений, но кто будет управлять программой в будущем — пока неясно.

Отчет Google Threat Intelligence: смена фокуса на корпоративные сети

Группа Google Threat Intelligence (GTIG) опубликовала отчет о 75 уязвимостях нулевого дня, обнаруженных в 2024 году. Уязвимость нулевого дня в понимании GTIG — это та, которая эксплуатируется до выхода патча. В отчете указано, что фокус атак сместился с пользовательских приложений на корпоративную инфраструктуру, включая VPN и средства безопасности. Это может привести к «масштабному компрометированию систем и сетей».

Значительную часть атак по-прежнему осуществляют государства и связанные с ними группы, занимающиеся кибершпионажем. Но есть и положительные новости — вендоры, сфокусированные на безопасности, добились снижения числа атак нулевого дня на браузеры и мобильные устройства.

Windows, как одна из самых популярных ОС, остается приоритетной целью: число атак нулевого дня выросло с 16 в 2023 году до 22 в 2024. Как и в случае с инфраструктурой безопасности, компрометация ОС может привести к серьезным последствиям для бизнеса.

Новости Microsoft: проблемы с обновлениями и завершение поддержки Skype

Microsoft в апреле сделала несколько важных заявлений. Подтвердилось, что обновления безопасности за апрель 2025 вызывают проблемы с аутентификацией на контроллерах домена Windows Server 2025. Это связано с исправлением критической уязвимости CVE-2025-26647. Пока неизвестно, выйдет ли исправление на этой неделе. Также объявлено об исправлении проблемы с обновлениями Windows 11 через WSUS — оно распространяется через функцию отката известных проблем (Known Issue Rollback, KIR), но дополнительная информация ожидается в рамках ежемесячных обновлений.

Программа предварительного просмотра горячих обновлений (Hotpatching) будет завершена 30 июня – Microsoft готовит первый хотпатч для Windows 11, версия 24H2. Подписчики Azure Arc будут автоматически переведены на платную версию. Чтобы избежать списаний, нужно отписаться до этой даты. Наконец, 5 мая официально завершилось существование Skype — спустя 14 лет после запуска. Microsoft купила сервис у eBay в 2011 году. Пользователям рекомендуется сохранить нужные данные и перейти на Teams, который доступен бесплатно.

Прогноз на «Вторник Патчей», май 2025 года:

  • Ожидаются стандартные обновления от Microsoft для поддерживаемых операицонных систем (включая Windows 11, Windows Server 2025 (LTSC), Windows Server, версия 24H2, Windows Server, версия 23H2, Windows Server 2022 (LTSC), Windows 10, Windows Server 2019 (LTSC), Windows Server 2016 (LTSC)), офисных продуктов и средств защиты. В апреле прогнозировалось немного уязвимостей, но результат оказался противоположным. В мае, возможно, их будет меньше.
  • Adobe, скорее всего, снизит активность, но может выпустить обновление для Acrobat и Reader.
  • Компания Apple выпустила обновления 16 апреля, включая macOS Sequoia 15.4.1. Вероятно, очередные обновления выйдут не на этой неделе, а позже в мае.
  • Google Chrome 137 вышел в бета-канал, значит ждем стабильную версию на этой неделе.
  • Mozilla обновила Firefox и Thunderbird 138, ESR 128.10 и 115.23 — исправлены уязвимости высокого уровня опасности. Небольшие обновления возможны, но не обязательны.
© .
Комментарии и отзывы

Нашли ошибку?

Новое на сайте