Корпорация Microsoft выпустила обновление безопасности, устраняющее 183 уязвимости в своих продуктах. Среди них три активно эксплуатируются злоумышленниками. Статистика уязвимостей включает 84 случая повышения привилегий, 33 — удаленного выполнения кода, 28 — раскрытия информации, 14 — спуфинга, а также по 11 уязвимостей обхода функций безопасности и отказа в обслуживании. Восемь из 183 исправлений относятся к продуктам сторонних разработчиков. Эти обновления выпущены в дополнение к 25 уязвимостям, устраненным в браузере Edge на базе Chromium с сентября 2025 года. Одновременно Microsoft официально прекратила поддержку Windows 10 для устройств, не включенных в программу платных расширенных обновлений безопасности (ESU).
Наибольшую опасность представляет уязвимость повышения привилегий CVE-2025-24990 с рейтингом CVSS 7.8, обнаруженная в устаревшем драйвере модема Windows Agere («ltmdm64.sys»). Проблема заключается в том, что этот драйвер по умолчанию установлен в каждой когда-либо выпущенной версии Windows, включая серверные редакции, независимо от наличия соответствующего оборудования. Это позволяет локальному злоумышленнику с минимальными правами получить полный контроль над системой на уровне администратора.
Алекс Вовк, генеральный директор и соучредитель компании Action1, охарактеризовал эту уязвимость как «опасную», поскольку она коренится в унаследованном коде, который по умолчанию устанавливается на все системы Windows. Адам Барнетт, ведущий инженер-программист из Rapid7, подтвердил, что драйвер «поставляется с каждой версией Windows, вплоть до Server 2025», делая уязвимыми даже те компьютеры, на которых никогда не было модемного оборудования. В ответ Microsoft планирует не исправлять, а полностью удалить этот сторонний драйвер из операционной системы.
Второй активно эксплуатируемой уязвимостью стала CVE-2025-59230 (CVSS 7.8) в диспетчере подключений удаленного доступа Windows (RasMan). Она также позволяет злоумышленнику повысить свои привилегии в системе. Сатнам Наранг, старший научный сотрудник компании Tenable, отметил, что это первая уязвимость в компоненте RasMan, которая эксплуатируется как zero-day. При этом с января 2022 года Microsoft исправила уже более 20 дефектов в этом компоненте.
Третья уязвимость «нулевого дня», CVE-2025-47827 (CVSS 4.6), затрагивает обход функции Secure Boot в операционной системе IGEL OS версий до 11. Уязвимость была публично раскрыта исследователем безопасности Заком Дидкоттом в июне 2025 года. Атака требует физического доступа к устройству и не может быть проведена удаленно, что делает наиболее вероятным сценарием «атаку в стиле 'злой горничной'».
Кев Брин, старший директор по исследованию угроз в компании Immersive, предупредил, что обход Secure Boot позволяет злоумышленникам развернуть руткит уровня ядра. Это дает им доступ к операционной системе IGEL OS, возможность вмешиваться в работу виртуальных рабочих столов и перехватывать учетные данные пользователей.
Агентство по кибербезопасности и защите инфраструктуры США (CISA) внесло все три уязвимости «нулевого дня» в свой каталог известных эксплуатируемых уязвимостей (KEV). Федеральным ведомствам США предписано установить соответствующие обновления безопасности в срок до 4 ноября 2025 года.
Помимо zero-day, обновление устраняет две уязвимости с критическим рейтингом CVSS 9.9. Первая, CVE-2025-49708, представляет собой ошибку повышения привилегий в графическом компоненте Microsoft. Она приводит к полному «побегу из виртуальной машины» (VM escape). По словам Бена Маккарти, ведущего инженера по кибербезопасности из Immersive, злоумышленник с низкими привилегиями в гостевой виртуальной машине может выполнить код с правами SYSTEM на хост-сервере, скомпрометировав все остальные виртуальные машины на этом хосте.
Вторая критическая уязвимость, CVE-2025-55315 (CVSS 9.9), — это обход функции безопасности в . Для эксплуатации атакующему необходимо предварительно пройти аутентификацию. Метод атаки заключается в том, что злоумышленник может «протащить» второй, вредоносный HTTP-запрос в теле своего первоначального аутентифицированного запроса, чтобы обойти средства контроля безопасности.
Среди других значимых исправлений — уязвимость удаленного выполнения кода CVE-2025-59287 (CVSS 9.8) в службе Windows Server Update Service (WSUS). Еще одна ошибка удаленного выполнения кода, CVE-2025-59295 (CVSS 8.8), была найдена в механизме синтаксического анализа URL-адресов Windows. Бен Маккарти пояснил, что злоумышленник может использовать специально созданный URL-адрес, чтобы вызвать переполнение буфера, которое перезаписывает критические данные программы, такие как указатель на функцию, и перенаправляет поток выполнения для запуска произвольного кода (шеллкода).
Обновление также затрагивает сторонние компоненты. Уязвимость CVE-2025-2884 (CVSS 5.3) была обнаружена в эталонной реализации Trusted Computing Group (TCG) TPM2.0. Она представляет собой чтение за пределами выделенной области памяти во вспомогательной функции CryptHmacSign.
Изображение носит иллюстративный характер
Наибольшую опасность представляет уязвимость повышения привилегий CVE-2025-24990 с рейтингом CVSS 7.8, обнаруженная в устаревшем драйвере модема Windows Agere («ltmdm64.sys»). Проблема заключается в том, что этот драйвер по умолчанию установлен в каждой когда-либо выпущенной версии Windows, включая серверные редакции, независимо от наличия соответствующего оборудования. Это позволяет локальному злоумышленнику с минимальными правами получить полный контроль над системой на уровне администратора.
Алекс Вовк, генеральный директор и соучредитель компании Action1, охарактеризовал эту уязвимость как «опасную», поскольку она коренится в унаследованном коде, который по умолчанию устанавливается на все системы Windows. Адам Барнетт, ведущий инженер-программист из Rapid7, подтвердил, что драйвер «поставляется с каждой версией Windows, вплоть до Server 2025», делая уязвимыми даже те компьютеры, на которых никогда не было модемного оборудования. В ответ Microsoft планирует не исправлять, а полностью удалить этот сторонний драйвер из операционной системы.
Второй активно эксплуатируемой уязвимостью стала CVE-2025-59230 (CVSS 7.8) в диспетчере подключений удаленного доступа Windows (RasMan). Она также позволяет злоумышленнику повысить свои привилегии в системе. Сатнам Наранг, старший научный сотрудник компании Tenable, отметил, что это первая уязвимость в компоненте RasMan, которая эксплуатируется как zero-day. При этом с января 2022 года Microsoft исправила уже более 20 дефектов в этом компоненте.
Третья уязвимость «нулевого дня», CVE-2025-47827 (CVSS 4.6), затрагивает обход функции Secure Boot в операционной системе IGEL OS версий до 11. Уязвимость была публично раскрыта исследователем безопасности Заком Дидкоттом в июне 2025 года. Атака требует физического доступа к устройству и не может быть проведена удаленно, что делает наиболее вероятным сценарием «атаку в стиле 'злой горничной'».
Кев Брин, старший директор по исследованию угроз в компании Immersive, предупредил, что обход Secure Boot позволяет злоумышленникам развернуть руткит уровня ядра. Это дает им доступ к операционной системе IGEL OS, возможность вмешиваться в работу виртуальных рабочих столов и перехватывать учетные данные пользователей.
Агентство по кибербезопасности и защите инфраструктуры США (CISA) внесло все три уязвимости «нулевого дня» в свой каталог известных эксплуатируемых уязвимостей (KEV). Федеральным ведомствам США предписано установить соответствующие обновления безопасности в срок до 4 ноября 2025 года.
Помимо zero-day, обновление устраняет две уязвимости с критическим рейтингом CVSS 9.9. Первая, CVE-2025-49708, представляет собой ошибку повышения привилегий в графическом компоненте Microsoft. Она приводит к полному «побегу из виртуальной машины» (VM escape). По словам Бена Маккарти, ведущего инженера по кибербезопасности из Immersive, злоумышленник с низкими привилегиями в гостевой виртуальной машине может выполнить код с правами SYSTEM на хост-сервере, скомпрометировав все остальные виртуальные машины на этом хосте.
Вторая критическая уязвимость, CVE-2025-55315 (CVSS 9.9), — это обход функции безопасности в . Для эксплуатации атакующему необходимо предварительно пройти аутентификацию. Метод атаки заключается в том, что злоумышленник может «протащить» второй, вредоносный HTTP-запрос в теле своего первоначального аутентифицированного запроса, чтобы обойти средства контроля безопасности.
Среди других значимых исправлений — уязвимость удаленного выполнения кода CVE-2025-59287 (CVSS 9.8) в службе Windows Server Update Service (WSUS). Еще одна ошибка удаленного выполнения кода, CVE-2025-59295 (CVSS 8.8), была найдена в механизме синтаксического анализа URL-адресов Windows. Бен Маккарти пояснил, что злоумышленник может использовать специально созданный URL-адрес, чтобы вызвать переполнение буфера, которое перезаписывает критические данные программы, такие как указатель на функцию, и перенаправляет поток выполнения для запуска произвольного кода (шеллкода).
Обновление также затрагивает сторонние компоненты. Уязвимость CVE-2025-2884 (CVSS 5.3) была обнаружена в эталонной реализации Trusted Computing Group (TCG) TPM2.0. Она представляет собой чтение за пределами выделенной области памяти во вспомогательной функции CryptHmacSign.
