Аналитики R-Vision перечислили самые опасные уязвимости февраля
Специалисты компании R-Vision подготовили дайджест критических уязвимостей, выявленных в феврале 2026 года. В него вошли семь проблем безопасности с высоким уровнем риска, по которым имеются подтверждения об эксплуатации или публичные технические детали.
В перечень попали шесть уязвимостей в продуктах Microsoft и одна — в браузере Google Chrome. Среди них:
CVE-2026-21519 — ошибка type confusion в компоненте Desktop Window Manager (DWM). Локальный пользователь с низкими привилегиями может передать специально подготовленные данные, добиться некорректной обработки памяти и выполнить код с правами SYSTEM.
CVE-2026-21513 — уязвимость в MSHTML, позволяющая обойти проверки Mark-of-the-Web (MotW) из-за некорректной валидации в библиотеке ieframe.dll. Атакующий может заставить пользователя открыть вредоносный LNK- или HTML-файл, после чего содержимое выполнится вне песочницы браузера.
CVE-2026-21510 — уязвимость в Windows Shell, позволяющая обойти MotW и SmartScreen: система некорректно обрабатывает LNK-файлы и URL-ссылки, из-за чего вредоносный файл может восприниматься как локальный и запускаться без предупреждения.
CVE-2026-21533 — уязвимость в службах Remote Desktop Services (RDS), позволяющая локальному пользователю с низкими привилегиями изменить параметры запуска службы TermService и добиться выполнения вредоносного файла с правами SYSTEM.
CVE-2026-20841 — уязвимость в обновлённом «Блокноте» Windows 11 с поддержкой Markdown. Атакующий может встроить в документ вредоносную ссылку на исполняемый файл или установщик, и при переходе по ней добиться удалённого выполнения кода.
CVE-2026-21514 — уязвимость в Microsoft Word, связанная с некорректной обработкой OLE-объектов. Позволяет выполнить вложенный вредоносный код при открытии специально подготовленного документа. Просмотр в области предварительного просмотра к эксплуатации не приводит.
CVE-2026-2441 — критическая уязвимость в Chrome, связанная с ошибкой Use-After-Free в компоненте CSSFontFeatureValuesMap, отвечающем за обработку CSS-структур. При изменении коллекции браузер может обратиться к уже освобождённой области памяти, что открывает возможность для выполнения вредоносного кода через специально подготовленную веб-страницу.
По информации R-Vision, часть из перечисленных уязвимостей эксплуатировалась злоумышленниками ещё до выхода исправлений. В частности, это касается проблем в MSHTML, RDS и Microsoft Word. В случае с уязвимостью в службах Remote Desktop Services атаки фиксировались как минимум с 24 декабря 2025 года.
Агентство CISA включило все указанные уязвимости в свой каталог Known Exploited Vulnerabilities (KEV). Для большинства из них установлен срок устранения до 3 марта, для CVE‑2026‑2441 — до 10 марта 2026 года.
Производители уже выпустили обновления безопасности. В R-Vision рекомендуют установить их в приоритетном порядке, а также обратить внимание на использование систем управления уязвимостями для автоматизации процессов выявления и контроля устранения подобных угроз.
Читайте также
