«Вторник Патчей», август 2025: Microsoft исправила 107 проблем безопасности, в том числе одну уязвимость «нулевого дня»

Исправлено 13 уязвимостей с уровнем опасности «Критический»: девять из них связаны с удаленным выполнением кода, три — с раскрытием информации и одна — с повышением привилегий.

Классификация уязвимостей по типу:

• 44 уязвимости повышения привилегий
• 35 уязвимостей удаленного выполнения кода
• 18 уязвимостей раскрытия информации
• 4 уязвимости отказа в обслуживании
• 9 уязвимостей спуфинга

В это число не входит уязвимости Mariner, Azure и Microsoft Edge, исправленные в начале августа.

Обновления безопасности Windows, август 2025

Для установки доступны следующие обновления:

Windows

Windows LTSC

• Обновление KB5063878 (Build 26100.4946) для Windows 11 LTSC 2024
• Обновление KB5063709 (Build 19044.6216) для Windows 10 LTSC 2021
• Обновление KB5063877 (Build 17763.7678) для Windows 10 LTSC 2019

Windows Server

• Обновление KB5063878 (OS Build 26100.4946) для Windows Server 2025
• Обновление KB5063878 (OS Build 26100.4946) для Windows Server, версия 24H2
• Обновление KB5063899 (OS Build 25398.1791) для Windows Server, версия 23H2
• Обновление KB5063880 (OS Build 20348.4052) для Windows Server 2022
• Обновление KB5060531 (OS Build 17763.7434) для Windows Server 2019
• Обновление KB5063871 (OS Build 14393.8330) для Windows Server 2016

Исправлена одна уязвимость «нулевого дня»

В этот «Вторник Патчей» устранена всего одна уязвимость «нулевого дня», обнаруженная в Windows Kerberos.

Microsoft классифицирует уязвимость как уязвимость нулевого дня, если она публично раскрыта или активно эксплуатируется без официального исправления.

• CVE-2025-53779 — Уязвимость повышения привилегий в Windows Kerberos

Уязвимость позволяет аутентифицированному атакующему получить права администратора домена.

В бюллетене по безопасности Microsoft отмечает:

Перемещение по относительному пути в Windows Kerberos позволяет авторизованному злоумышленнику повысить привилегии через сеть.

Для эксплуатации требуется повышенный доступ к следующим атрибутам dMSA:

• msds-groupMSAMembership — позволяет использовать dMSA.
• msds-ManagedAccountPrecededByLink — необходим доступ на запись, чтобы указать пользователя, от имени которого может действовать dMSA.

Обнаружение уязвимости приписывается Ювалю Гордону (Yuval Gordon) из Akamai, который опубликовал технический отчет о ней в мае.

Обновления от других компаний

• Разработчик 7-Zip выпустил исправления уязвимости обхода пути, способной привести к удаленному выполнению кода.
• Компания Adobe опубликовала экстренные патчи против уязвимостей «нулевого дня» в AEM Forms после публикации PoC.
• Cisco представила исправления для WebEx и Identity Services Engine.
• Компания Fortinet выпустила обновления безопасности для FortiOS, FortiManager, FortiSandbox и FortiProxy.
• Google выпустил обновления Android с исправлением двух активно эксплуатируемых уязвимостей в Qualcomm.
• Microsoft предупреждает об уязвимости в Exchange (CVE-2025-53786), позволяющей захватывать облачные окружения.
• Компания Proton исправила баг в приложении Authenticator для iOS, где TOTP-секреты сохранялись в открытом виде.
• Компания SAP выпустила июльские обновления безопасности для множества продуктов, включая уязвимости с рейтингом 9.9.
• Trend Micro выпустила утилиту для устранения активно эксплуатируемой уязвимости удаленного выполнения кода в Apex One (полное обновление выйдет позже).
• Разработчик WinRAR в конце июля исправил уязвимость обхода пути, активно эксплуатируемую для удаленного выполнения кода.