«Вторник Патчей», июль 2026: Microsoft исправила 570 проблем безопасности, включая три уязвимости «нулевого дня»

2026-07-14 495 комментарии
Во «Вторник Патчей» (Patch Tuesday), 14 июля 2026 года, компания Microsoft выпустила обновления безопасности, устраняющие рекордные 570 уязвимостей, включая две активно эксплуатируемые и одну публично раскрытую уязвимость «нулевого дня»

Во «Вторник Патчей» (Patch Tuesday), 14 июля 2026 года, компания Microsoft выпустила обновления безопасности, устраняющие рекордные 570 уязвимостей, включая две активно эксплуатируемые и одну публично раскрытую уязвимость «нулевого дня».

Также исправлено 59 уязвимостей с уровнем опасности «Критический»: 48 из них связаны с удаленным выполнением кода, девять – с повышением привилегий, одна – с обходом функций безопасности и одна – со спуфингом.

Классификация уязвимостей по типу:

  • 254 уязвимости повышения привилегий
  • 17 уязвимостей обхода функций безопасности
  • 145 уязвимостей удаленного выполнения кода
  • 102 уязвимости раскрытия информации
  • 35 уязвимостей отказа в обслуживании
  • 16 уязвимостей спуфинга

В это число не входят уязвимости Mariner, Azure OpenAI, Azure Synapse, M365 Copilot, Microsoft Exchange Online, Microsoft Edge для Android и Microsoft Entra Provisioning Service, исправленные ранее в июле.

Также не учитываются 468 уязвимостей Microsoft Edge/Chromium, устраненных компанией Google в этом месяце. В рамках июньского «Вторника Патчей» Google ранее исправила 360 уязвимостей, которые впоследствии были перенесены в Microsoft Edge.

Ранее Microsoft сообщила о росте числа исправлений в рамках «Вторника Патчей» в связи с внедрением системы обнаружения уязвимостей на основе искусственного интеллекта, которая позволяет выявлять больше проблем безопасности на раннем этапе.

Подробнее о некритических обновлениях можно узнать в отдельных материалах, посвященных обновлениям Windows.

Обновления безопасности Windows, июль 2026

Для установки доступны следующие обновления:

Windows

ОС Windows Сборка Версия Канал Обновление ISO-образы Доступно
Windows 11 28000.2525 26H1 Stable KB5101649 ISO (UUP) 2026-07-14
Windows 11 26200.8875 25H2 Stable KB5101650 ISO (UUP) 2026-07-14
Windows 11 26100.8875 24H2 Stable KB5101650 ISO (UUP) 2026-07-14
Windows 11 22631.7376 23H2 Stable KB5099414 ISO (UUP) 2026-07-14
Windows 10 19045.7548 22H2 Stable KB5099539 N/A 2026-07-14

Windows LTSC

Windows Server

Исправлены три уязвимости «нулевого дня»

В этот «Вторник Патчей» Microsoft устранила две активно эксплуатируемые и одну публично раскрытую уязвимость «нулевого дня».

Microsoft классифицирует уязвимость как нулевого дня, если она публично раскрыта или активно эксплуатируется без официального исправления.

Активно эксплуатируемые уязвимости

  • CVE-2026-56155 – уязвимость повышения привилегий в Active Directory Federation Services (активно эксплуатируется)

Microsoft исправила уязвимость в Active Directory Federation Services (AD FS), позволяющую повысить привилегии до административного уровня.

В бюллетене безопасности Microsoft поясняет:

Недостаточная детализация контроля доступа в Active Directory Federation Services (AD FS) позволяет авторизованному атакующему локально повысить свои привилегии.

Обнаружение уязвимости приписывается исследователям из команды Microsoft Detection and Response Team (DART), что может указывать на выявление проблемы в ходе расследования реальных атак.

Подробности эксплуатации не раскрываются.

  • CVE-2026-56164 – уязвимость повышения привилегий в Microsoft SharePoint Server (активно эксплуатируется)

Microsoft исправила уязвимость в Microsoft SharePoint Server, позволяющую удаленному злоумышленнику повысить привилегии.

Компания поясняет:

Отсутствие аутентификации для критической функции в Microsoft Office SharePoint позволяет неавторизованному атакующему повысить привилегии по сети.

Для снижения риска Microsoft рекомендует включить Antimalware Scan Interface (AMSI) на сервере и установить режим Request Body Scan в значение Full.

Подробности эксплуатации не раскрываются.

Публично раскрытая уязвимость

  • CVE-2026-50661 – обход BitLocker (публично раскрыта)

Microsoft исправила уязвимость обхода BitLocker, позволяющую получить доступ к зашифрованным данным.

Компания поясняет:

Успешная эксплуатация уязвимости позволяет обойти механизм BitLocker Device Encryption для системного накопителя. Злоумышленник с физическим доступом к устройству может использовать ее для получения доступа к зашифрованным данным.

Обнаружение уязвимости приписывается анонимному исследователю.

Обновления от других компаний

Полный список исправленных уязвимостей июльского «Вторника Патчей» доступен в отчете BleepingComputer.

© .
Комментарии и отзывы

Нашли ошибку?

Новое на сайте