R-Vision выделил три наиболее опасные уязвимости января
Компания R-Vision представила подборку наиболее критичных уязвимостей, выявленных в январе 2026 года. Как сообщили аналитики, в список вошли проблемы в продуктах Microsoft и GNU Inetutils, которые характеризуются высоким уровнем риска, подтверждёнными случаями эксплуатации и особым вниманием со стороны специалистов по информационной безопасности.
Первая уязвимость (CVE-2026-20805) затрагивает Microsoft Office и позволяет обойти механизм безопасности OLE, предназначенный для защиты от небезопасных COM/OLE-элементов. Уязвимость уже использовалась в реальных атаках. Патч был выпущен внепланово 26 января, а сама CVE добавлена в каталог CISA KEV со сроком устранения до 16 февраля.
Вторая проблема (CVE-2026-20805) обнаружена в компоненте Desktop Window Manager Windows и приводит к раскрытию информации. Как указывается в сообщении компании, эксплуатация позволяет локальному авторизованному пользователю получить доступ к адресам памяти процесса DWM, что может быть использовано для обхода механизма ASLR. Уязвимость также добавлена в CISA KEV, обновление безопасности выпущено 13 января.
Третья уязвимость (CVE-2026-24061) касается службы telnetd в пакете GNU Inetutils и позволяет обойти аутентификацию для получения прав root. По данным исследователей, проблема существует с 2015 года и затрагивает версии вплоть до 2.7. В российском сегменте интернета, согласно статистике Fofa, находится почти 449,3 тыс. потенциально уязвимых хостов с запущенным telnetd. Уязвимость активно эксплуатируется, добавлена в CISA KEV и имеет публичные эксплойты.
Для защиты от указанных угроз рекомендуется своевременно устанавливать обновления безопасности и контролировать состояние ПО и сервисов.
Читайте также
