Microsoft закрыла более 150 уязвимостей: компания выпустила рекордный по объёму месячный набор исправлений
Microsoft выпустила второй по объёму месячный набор исправлений в истории, закрыв 165 уязвимостей, включая активно эксплуатируемую zero-day в SharePoint, позволяющую осуществлять подмену и несанкционированный просмотр данных. Также исправлена публичная уязвимость в Microsoft Defender для локального повышения привилегий. Большинство закрытых проблем имеют низкий риск эксплуатации.
Компания Microsoft в рамках ежемесячного обновления Patch Tuesday устранила 165 уязвимостей, затрагивающих различные продукты и базовые системы. Как пишет издание CyberScoop со ссылкой на сообщение компании, это второй по величине ежемесячный релиз за всю историю вендора.
По данным исследования ИТ-проекта «Контур.Толк», в апреле 2024 года более 61% российских компаний продолжали использовать сервисы Microsoft. Из них 45% использовали операционную систему Windows, 14% — пакет офисных программ Microsoft, по 8% — облачное хранилище OneDrive и систему управления данными Microsoft SQL Server.
Среди закрытых проблем — активно эксплуатируемая уязвимость нулевого дня в Microsoft Office SharePoint (CVE-2026-32201, CVSS 6.5). Как сообщили в Microsoft, дефект связан с некорректной проверкой вводимых данных и позволяет неаутентифицированным злоумышленникам осуществлять спуфинг в сети, просматривать конфиденциальную информацию и вносить изменения в раскрытые данные. Вскоре после публикации данных CISA внесло эту уязвимость в свой перечень активно эксплуатируемых проблем.
Также компания устранила публично известную на момент выпуска обновления уязвимость высокой степени серьёзности в Microsoft Defender (CVE-2026-33825). Как отмечается в сообщении, этот дефект, скорее всего, будет эксплуатироваться и может позволить неавторизованным злоумышленникам локально повышать свои привилегии, предоставляя полный контроль над конечными устройствами. В компании добавили, что общедоступный концепт-код эксплуатации повышает вероятность использования этой уязвимости в реальных атаках.
В этом месяце Microsoft раскрыла две критических уязвимости — CVE-2026-33824 (расширение IKE в Windows) и CVE-2026-26149 (Microsoft Power Apps) — но, как указывается в сообщении, оба дефекта обозначены как менее вероятные для эксплуатации.
Согласно данным Microsoft, более трёх четвертей уязвимостей, раскрытых в этом месяце, имеют низкую вероятность эксплуатации. При этом 19 уязвимостей компания обозначила как более вероятные для эксплуатации. Полный список устранённых проблем доступен в Центре реагирования на угрозы Microsoft (Microsoft Security Response Center).
Арбитражный суд Москвы признал банкротом российскую «дочку» Microsoft — ООО «Майкрософт Рус» — и открыл конкурсное производство, сообщает Anti-malware. Компания сама инициировала процедуру ещё в сентябре 2025 года на фоне приостановки продаж в России и фактического отсутствия клиентов, а её неисполненные обязательства на тот момент превышали 1,5 млрд рублей.
Ранее SecPost писал о том, что хакеры начали использовать в атаках критическую уязвимость в Microsoft SharePoint (CVE-2026-20963), позволяющую удалённо выполнять произвольный код без аутентификации. Проблема была исправлена ещё в январе, однако CISA включила её в каталог активно эксплуатируемых уязвимостей и предупредила о рисках для не обновлённых систем, включая устаревшие версии.
Читайте также
