«Вторник Патчей», 12 августа 2025 года: Windows 11 и Windows 10 получат важные обновления безопасности

Июль выдался богатым на события в области информационной безопасности. Месяц начался спокойно: Microsoft закрыла более 130 уязвимостей во всех продуктах, но публично раскрыта была только одна, поэтому риск оценивался как низкий. Ситуация изменилась, когда начали активно эксплуатировать две уязвимости в SharePoint. К концу месяца вышли внеплановые патчи. Дополнительно возникли проблемы с конфигурацией безопасности Microsoft Exchange Server, а Google и Apple выпустили крупные обновления. В итоге июль завершился в режиме постоянных инцидентов и исправлений.

CISA предупреждает о проблемах в SharePoint, Microsoft выпускает новые исправления

Иногда для полного устранения уязвимости требуется несколько попыток. Microsoft убедилась в этом на примере SharePoint. В начале года на конкурсе Pwn2Own в Берлине был продемонстрирован набор уязвимостей под названием «ToolShell», которые затем были закрыты в июльском «Вторнике Патчей» 2025. Ключевые из них — CVE-2025-49704 (удаленное выполнение кода) и CVE-2025-49706 (подмена данных в SharePoint Server).

Однако вскоре после выхода исправлений Microsoft, Google и другие сообщили, что патчи можно обойти, и многие организации уже были скомпрометированы. 19 июля Microsoft выпустила «усиленные» исправления с новыми идентификаторами CVE-2025-53770 и CVE-2025-53771. Для них вышли отдельные обновления дляSharePoint Server Subscription Edition, SharePoint Server 2019 и SharePoint Enterprise Server 2016. Помимо установки патчей, Microsoft рекомендует сменить криптографические ключи Machine Keys на затронутых серверах.

По данным CISA, цепочка атак ToolShell уже используется в атаках с использованием программ-вымогателей, и эти уязвимости включены в каталог угроз, подлежащих срочному устранению федеральными ведомствами. Ожидается, что эти исправления войдут и в августовский «Вторник Патчей».

Уязвимость «нулевого дня» в Chromium и десятки уязвимостей Apple

Microsoft также опубликовала CVE-2025-53786 для устранения проблем безопасности в Microsoft Exchange Server в гибридных конфигурациях. Уязвимость связана с апрельским обновлением и последующим хотфиксом, а также содержит рекомендации по защите локальных серверов Exchange и Exchange Online. Поскольку эти системы обмениваются данными (календарями, контактами, письмами), риск компрометации высок, а журналирование событий — минимально.

После «Вторника Патчей» в июле вышли и крупные обновления от других производителей. Google продолжила еженедельные релизы Chromium и 16 июля выпустила версию с исправлением нескольких уязвимостей, включая zero-day CVE-2025-6558, позволявшую удаленному атакующему выйти из песочницы браузера. Apple также обновила свои ОС и приложения: macOS Ventura 13.7.7 получила 41 исправление уязвимостей, Sonoma 14.7.7 — 50, Sequoia 15.6 — 89, а в Safari для Ventura и Sonoma было закрыто 17 уязвимостей.

Прогноз на «Вторник Патчей», август 2025

• В августе SharePoint получит важные обновления. Но установка патчей — не единственное, что нужно сделать: Microsoft рекомендует также обновить криптоключи Machine Keys. Помимо этого, ожидаются традиционные обновления для ОС и приложений. Поскольку крупных исправлений для .NET Framework и SQL Server не было уже давно, есть шанс, что они появятся в этом месяце.
• Adobe продолжит выпуск обновлений для Creative Cloud, вероятно, с акцентом на Photoshop.
• Apple выпустила крупные обновления 29 июля. Так как сообщений о серьезных проблемах не поступало, вероятно, в ближайший месяц-два новых релизов не будет. Главное — убедиться, что все последние обновления уже установлены.
• Google Chrome обычно получает обновления во «Вторник Патчей», но они могут выйти только к вечеру.
• Mozilla не обновляла продукты с 22 июля, так что вероятны новые версии Firefox и Thunderbird (включая ESR).

Исправление уязвимостей в ПО часто превращается в бесконечный цикл: закрываешь одну, появляется следующая. Так произошло и с SharePoint — патчи пришлось выпускать повторно. Подобное уже было, например, с PrintNightmare. Хочется верить, что в этот раз дополнительных попыток не понадобится.