Сегодня 08 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Microsoft исправила 55 уязвимостей, включая две критические нулевого дня

В рамках февральского пакета обновлений безопасности Patch Tuesday 2025 компания Microsoft выпустила обновления, устраняющие 55 уязвимостей, включая четыре уязвимости нулевого дня, две из которых уже активно эксплуатируются злоумышленниками в реальных атаках.

 Источник изображения: Andras Vas / Unsplash

Источник изображения: Andras Vas / Unsplash

Кроме того, как сообщает BleepingComputer, в обновлении исправлены три критические уязвимости, связанные с удалённым выполнением кода. Помимо перечисленных проблем, обновление включает исправления для широкого спектра ошибок, разделённых по категориям:

  • 19 ошибок, связанных с повышением привилегий
  • 2 ошибки, связанные с обходом функций безопасности
  • 22 ошибки, связанные с удалённым исполнением кода
  • 1 ошибка, связанная с раскрытием информации
  • 9 ошибок, связанных с отказом в обслуживании
  • 3 ошибки, связанные со спуфингом.

Следует отметить, что указанные цифры не включают критическую уязвимость повышения привилегий в Microsoft Dynamics 365 Sales и 10 уязвимостей в Microsoft Edge, которые были устранены отдельным обновлением 6 февраля.

Две активно эксплуатируемые уязвимости нулевого дня, устранённые в этом месяце, представляют собой наибольшую угрозу. Одна из них, CVE-2025-21391, является уязвимостью повышения привилегий в Windows Storage. По словам Microsoft, злоумышленник, использующий эту «дыру», сможет удалять целевые файлы на устройстве, и хотя это не приводит к раскрытию конфиденциальной информации, может привести к недоступности системы.

Второй активно эксплуатируемой уязвимостью является CVE-2025-21418 — повышение привилегий в драйвере Ancillary Function Driver для WinSock. Эта уязвимость позволяла атакующим получить права SYSTEM в Windows. Microsoft не предоставила подробностей о том, как это конкретно использовалось в атаках.

Две другие уязвимости нулевого дня, устранённые в этом выпуске, были раскрыты публично до выхода исправления. CVE-2025-21194 — это ошибка обхода функций безопасности в Microsoft Surface, которая позволяла обойти защиту UEFI и скомпрометировать защищённое ядро. Microsoft заявила, что данная уязвимость связана с виртуальными машинами в UEFI хост-машинах, а сотрудники из французской компании по кибербезопасности Quarkslab также уточнили, что это может быть также связано с серией уязвимостей PixieFail, влияющих на стек сетевых протоколов IPv6.

Последняя спуфинг-уязвимость CVE-2025-21377 позволяла атакующим раскрывать NTLM-хэши пользователей Windows для удалённого входа или атак типа pass-the-hash, которая позволяет хакеру авторизоваться на удалённом сервере, на котором аутентификация осуществляется с использованием протокола LM или NTLM. Microsoft объясняет, что «минимальное взаимодействие пользователя с вредоносным файлом, такое как одиночный клик или клик правой кнопкой мыши, а также выполнение действия, отличного от открытия или выполнения файла, вызывает эту уязвимость».

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Аналитики: ещё до релиза Assassin’s Creed Black Flag Resynced обогнала Skull and Bones по продажам в Steam 8 ч.
Steam Machine сможет полноценно работать с Windows — Valve опубликовала официальные драйверы 10 ч.
Поиск Google поможет сайтам и блогерам лучше понять свою аудиторию 10 ч.
Создатели Hitman и 007 First Light закроют офис в Стамбуле на благо онлайновой ролевой игры Project Fantasy 11 ч.
State of Decay 3 сможет обойти стороной Game Pass, несмотря на финансирование от Xbox 12 ч.
Google разрешила себе обучать ИИ на файлах пользователей из поисковых запросов, но от этого можно отказаться 12 ч.
Meta грозят штрафы на $1,5 трлн по делам о зависимости детей от Instagram и Facebook 13 ч.
Google подготовила радикальный дизайн «Переводчика» 13 ч.
Windows 11 начала «съедать» до 500 Гбайт на диске — Microsoft признала баг 13 ч.
«Спрашиваю для друга»: сооснователь Arkane поинтересовался у гендиректора Xbox, сколько стоит выкупить студию 15 ч.
Новая статья: Сравнительный тест камер флагманских смартфонов (2026) 5 ч.
Китайская DeepSeek скрытно занимается разработкой собственного ИИ-ускорителя для инференса 5 ч.
Анонсированы умные очки Solos AirGo A6 — без камеры, но с ИИ 8 ч.
Apple захватила 90 % рынка смарт-часов с ИИ, который за год вырос на 70 % 10 ч.
«Джеймс Уэбб» показал самый подробный снимок галактики Центавр А 10 ч.
Marshall представила беспроводные колонки Acton IV и Stanmore IV с улучшенными басами и повышенной ремонтопригодностью 10 ч.
Huawei впервые бросит вызов Nvidia за пределами Китая — ИИ-ускорители Ascend появятся в Южной Корее 10 ч.
Российские власти не будут вводить плату за иностранный трафик 11 ч.
«Совкомбанк»: в 2026 году капитальные затраты на новые ЦОД в России сократятся на треть 11 ч.
Anthropic готова потратить миллиарды долларов на ЦОД в Австралии, но взамен требует переписать законы об интеллектуальной собственности 12 ч.