Двести критических и потенциально опасных брешей закрыла Microsoft в рамках июньского цикла обновлений безопасности. Среди исправлений оказались три уязвимости нулевого дня, которые до этого момента не подвергались массовым атакам, но несли серьезную угрозу для корпоративных сетей и серверов из-за риска удаленного выполнения кода и повышения привилегий в системе.
Центральным событием патча стала ликвидация уязвимости YellowKey (CVE-2026-50507) в BitLocker. Ошибка позволяла обходить шифрование при физическом доступе к устройству, если защита ограничивалась одним лишь TPM-модулем. Теперь разработчики настойчиво рекомендуют пользователям добавить PIN-код для усиления безопасности при загрузке системы.Другой важный апдейт коснулся компонента HTTP.sys, где закрыли брешь HTTP/2 Bomb. Она позволяла злоумышленникам перегружать оперативную память сервера через специально сформированные запросы, вызывая отказ в обслуживании. Для предотвращения подобных атак Microsoft добавила в реестр параметр, ограничивающий число заголовков в HTTP/2 и HTTP/3-трафике. Замыкает тройку публичных угроз ошибка в Collaborative Translation Framework (CTFMON): она позволяла локальным пользователям получать права уровня SYSTEM через некорректную обработку ссылок.
Комментарии (0)
Пока нет комментариев. Будьте первым!