Также исправлено 33 уязвимости с уровнем опасности «Критический»: 28 из них связаны с удаленным выполнением кода, четыре – с повышением привилегий и одна – с раскрытием информации.
Классификация уязвимостей по типу:
- 65 уязвимостей повышения привилегий
- 19 уязвимостей обхода функций безопасности
- 55 уязвимостей удаленного выполнения кода
- 30 уязвимостей раскрытия информации
- 7 уязвимостей отказа в обслуживании
- 27 уязвимостей спуфинга
В это число не входят уязвимости Mariner, Azure HorizonDB, Microsoft Copilot, Copilot Chat, M365 Copilot, Microsoft Exchange Online и Microsoft Graph, исправленные ранее в этом месяце.
Также не учитываются 360 уязвимостей Microsoft Edge/Chromium, устраненных компанией Google.
Обновления безопасности Windows, июнь 2026
Для установки доступны следующие обновления:
Windows
| ОС Windows | Сборка | Версия | Канал | Обновление | ISO-образы | Доступно |
|---|---|---|---|---|---|---|
| Windows 11 | 28000.2269 | 26H1 | Stable | KB5095051 | ISO (UUP) | 2026-06-09 |
| Windows 11 | 26200.8655 | 25H2 | Stable | KB5094126 | ISO (UUP) | 2026-06-09 |
| Windows 11 | 26100.8655 | 24H2 | Stable | KB5094126 | ISO (UUP) | 2026-06-09 |
| Windows 11 | 22631.7219 | 23H2 | Stable | KB5093998 | ISO (UUP) | 2026-06-09 |
| Windows 10 | 19045.7417 | 22H2 | Stable | KB5094127 | ISO (UUP) | 2026-06-09 |
Windows LTSC
- Обновление KB5094126 (OS Build 26100.8655) для Windows 11 LTSC 2024 (24H2)
- Обновление KB5094127 (OS Build 19044.7417) для Windows 10 LTSC 2021 (21H2)
- Обновление KB5094123 (OS Build 17763.8880) для Windows 10 LTSC 2019 (1809)
Windows Server
- Обновление KB5094125 (OS Build 26100.32995) для Windows Server 2025
- Обновление KB5094125 (OS Build 26100.32995) для Windows Server, версия 24H2
- Обновление KB5094128 (OS Build 20348.5256) для Windows Server 2022
- Обновление KB5094123 (OS Build 17763.8880) для Windows Server 2019
- Обновление KB5094122 (OS Build 14393.9234) для Windows Server 2016
Три публично раскрытые уязвимости «нулевого дня»
В этот «Вторник Патчей» Microsoft устранила три публично раскрытые уязвимости «нулевого дня». Данных об их эксплуатации в атаках не приводится.
Microsoft классифицирует уязвимость как уязвимость нулевого дня, если она публично раскрыта или активно эксплуатируется без официального исправления.
- CVE-2026-45586 – уязвимость повышения привилегий в Windows CTFMON
Microsoft исправила уязвимость повышения привилегий в компоненте Windows Collaborative Translation Framework (CTFMON), позволяющую получить привилегии уровня SYSTEM.
В бюллетене безопасности Microsoft поясняет:
Некорректная обработка ссылок перед доступом к файлу («link following») в Windows Collaborative Translation Framework позволяет авторизованному атакующему локально повысить свои привилегии.
- CVE-2026-49160 – уязвимость отказа в обслуживании в HTTP.sys
Microsoft исправила уязвимость отказа в обслуживании в HTTP/2, получившую название HTTP/2 Bomb.
Компания поясняет:
Неконтролируемое потребление ресурсов в HTTP/2 позволяет неавторизованному атакующему вызвать отказ в обслуживании по сети.
Атака HTTP/2 Bomb использует особенности сжатия и обработки заголовков протокола HTTP/2, позволяя отправлять минимальные объемы данных, которые приводят к непропорционально высокому потреблению памяти на сервере.
Злоумышленники также могут удерживать выделенную память, манипулируя параметрами управления потоком, что может вызывать деградацию производительности или отказ в обслуживании.
Для снижения риска Microsoft добавила новый параметр реестра MaxHeadersCount, позволяющий ограничить количество заголовков в HTTP/2 и HTTP/3 запросах.
- CVE-2026-50507 – обход функции безопасности BitLocker (YellowKey)
Microsoft устранила уязвимость обхода механизма защиты BitLocker, позволяющую локальному злоумышленнику получить доступ к зашифрованному диску.
Компания поясняет:
Сбой механизма защиты в Windows BitLocker позволяет неавторизованному атакующему обойти функцию безопасности при физическом доступе.
Уязвимость связана с атакой YellowKey, ранее раскрытой исследователем Nightmare Eclipse, который опубликовал серию уязвимостей Windows, включая BlueHammer, MiniPlasma, RedSun и UnDefend.
Эксплуатация возможна путем размещения специально сформированных файлов на USB-накопителе или EFI-разделе с последующей загрузкой в среду восстановления Windows (WinRE). Удержание клавиши CTRL позволяет открыть командную оболочку с неограниченным доступом к зашифрованным данным.
Уязвимость в первую очередь затрагивает системы с конфигурацией BitLocker, использующей только TPM (без PIN-кода), на Windows 11 и Windows Server 2022/2025. В качестве временной меры Microsoft ранее рекомендовала использовать конфигурацию TPM+PIN.
Обновления от других компаний
- Acer предупредила о двух критических неустраненных уязвимостях в маршрутизаторах Wave 7, позволяющих перехватывать управление устройствами.
- Компания Check Point выпустила обновления для уязвимости в Remote Access VPN и Mobile Access, которая использовалась в атаках программы-вымогателя Qilin.
- Cisco представила обновления для ряда продуктов, включая уязвимость в Unified CM с PoC-эксплойтом и уязвимость нулевого дня в SD-WAN, используемую в атаках.
- Компания Fortinet выпустила обновления безопасности для ряда уязвимостей в FortiOS, FortiSandbox и FortiProxy.
- Google опубликовал июньский бюллетень безопасности Android, устраняющий 124 уязвимости и одну активно эксплуатируемую – в Android 14, Android 15 и Android 16. Также устранена уязвимость нулевого дня в Google Chrome.
- Ivanti выпустила обновления для уязвимостей в Endpoint Manager Mobile (EPMM) и Ivanti Sentry. Случаев эксплуатации не выявлено.
- Ubiquiti выпустила обновления для трех уязвимостей максимальной критичности, которые могут приводить к удаленному выполнению кода.
- Компания SAP выпустила июньские обновления безопасности для ряда продуктов, включая исправления четырех критических уязвимостей.
- Veeam выпустила обновления для критической уязвимости в Backup & Replication, позволяющей выполнять удаленный код на серверах резервного копирования, подключенных к домену.