Microsoft выпустила июньское обновление Patch Tuesday, исправив 200 уязвимостей, включая три публично раскрытые zero-day. Данных об активном использовании этих zero-day не зафиксировано. Из 33 критических ошибок 28 связаны с удалённым выполнением кода, остальные — с повышением привилегий и раскрытием информации.
Уязвимость HTTP/2 Bomb (HTTP.sys) позволяет вызвать отказ в обслуживании через специальные запросы, потребляющие память. Microsoft добавила параметр реестра MaxHeadersCount для ограничения заголовков.
Ошибка в фреймворке CTFMON давала локальному пользователю повысить привилегии до SYSTEM из-за некорректной обработки ссылок. Детали не раскрываются.
Уязвимость YellowKey (CVE-2026-50507) обходит защиту BitLocker при физическом доступе, используя среду восстановления Windows. Рекомендуется включить PIN-код.
Кроме Microsoft, обновления выпустили Google (124 уязвимости в Android и одна в Chrome), Cisco, Check Point и Veeam — некоторые ошибки уже использовались в атаках с программами-вымогателями.
0 комментариев