Компания Microsoft выпустила июньский пакет исправлений и патчей в рамках программы Patch Tuesday. Апдейты доступны для Windows 10 и Windows 11. Разработчики устранили 200 уязвимостей в разных продуктах компании, включая 3 публично раскрытые уязвимости нулевого дня. Сообщается, что данных об активном использовании уязвимостей нулевого дня в реальных атаках не зафиксировано. 33 уязвимости получили статус критических, 28 из них связаны с возможностью удаленного выполнения кода, что представляет особую опасность для инфраструктуры организаций. Остальные касаются повышения привилегий и раскрытия конфиденциальной информации.
Особое внимание было уделено уязвимости нулевого дня под номером CVE-2026-50507, позволяющей обойти защиту технологии шифрования BitLocker. Она позволяет злоумышленникам получить доступ к зашифрованным данным при физическом доступе к устройству. Атака эксплуатирует среду восстановления Windows (WinRE) на системах, защищенных только модулем TPM. Для предотвращения подобных инцидентов Microsoft рекомендует включить дополнительную аутентификацию с помощью PIN-кода.
Вторая уязвимость нулевого дня касается драйвера HTTP.sys, которая получила название HTTP/2 Bomb. Уязвимость позволяет вызвать отказ в обслуживании сервера путем отправки специально сформированных запросов, которые приводят к неконтролируемому потреблению оперативной памяти. Для минимизации рисков Microsoft внедрил новый параметр реестра MaxHeadersCount, ограничивающий количество заголовков в запросах HTTP/2 и HTTP/3, что должно предотвратить исчерпание ресурсов сервера.
Третья уязвимость нулевого дня связана с фреймворком Collaborative Translation Framework (CTFMON). Ошибка позволяла локальному авторизованному пользователю повышать свои привилегии до уровня SYSTEM из-за некорректной обработки ссылок перед доступом к файлам.
