Microsoft закрыла в июне 2026 года рекордное количество уязвимостей за один Patch Tuesday — 206 штук. Это больше, чем когда-либо прежде за одну такую публикацию. Из них 39 получили статус критических, оставшиеся 167 — важные. По типам атак картина такая: 63 уязвимости связаны с повышением привилегий, 56 — с удалённым выполнением кода, 30 позволяют раскрыть информацию, 27 касаются спуфинга, 20 обходят защитные механизмы, 7 могут привести к отказу в обслуживании и ещё 3 допускают подмену данных. Дополнительно в этот же выпуск вошли два сторонних CVE (Windows Kernel и UEFI Secure Boot) и более 350 исправлений в Chromium, которые Microsoft унаследовала через Edge от Google.
Три уязвимости были публично раскрыты до выхода патчей. Первая — CVE-2026-50507 (CVSS 6.8), обход BitLocker, который исследователь Will Dormann идентифицировал как исправление для техники под названием bitskrieg: она открывает полный доступ к зашифрованным данным на диске. Вторая — CVE-2026-49160 (CVSS 7.5), отказ в обслуживании в HTTP.sys через технику HTTP2/Bomb. Третья — CVE-2026-45586 (CVSS 7.8), повышение привилегий в Windows Collaborative Translation Framework (CTFMON), предположительно являющееся патчем против эксплойта GreenPlasma, опубликованного исследователем Chaotic Eclipse (также известного как Nightmare-Eclipse).
Самые критичные уязвимости месяца — три RCE с оценкой CVSS 9.8, каждая из которых не требует ни учётных данных, ни какого-либо действия со стороны пользователя. CVE-2026-45657 — Use-After-Free в ядре Windows: атакующий отправляет специально сформированный TCP/IP-трафик на уязвимую систему и получает выполнение кода с привилегиями SYSTEM. Дословно из описания: «Атакующий может проэксплуатировать эту уязвимость, отправив специально сформированный сетевой трафик на уязвимую систему Windows... что потенциально позволяет запустить код с системными привилегиями без необходимости входа в систему или взаимодействия с пользователем». CVE-2026-47291 — целочисленное переполнение в HTTP.sys, та же схема через сеть. CVE-2026-44815 — переполнение стекового буфера в DHCP Client.
По поводу CVE-2026-44815 высказался Alex Vovk, CEO и сооснователь Action1: «Эта уязвимость не требует учётных данных или действий пользователя и способна превратить сетевой трафик в полную компрометацию системы». Он также пояснил, что атакующий может отправить специально сформированный трафик на систему, настроенную для DHCP-сервисов, и добиться несанкционированного выполнения кода по сети с высоким влиянием на конфиденциальность, целостность и доступность. Поскольку DHCP — базовая сетевая функция, риски включают компрометацию серверов, развёртывание вредоносного ПО, кражу данных и горизонтальное перемещение по сети. Системы, обрабатывающие DHCP-трафик, Vovk назвал приоритетными целями для немедленного патчинга.
BitLocker в этом месяце получил целый кластер исправлений — четыре CVE. Помимо уже упомянутого CVE-2026-50507 (bitskrieg, zero-day), закрыты CVE-2026-45585 (CVSS 6.8, эксплойт YellowKey), CVE-2026-45655 (CVSS 5.3) и CVE-2026-45658 (CVSS 7.8). YellowKey был опубликован Chaotic Eclipse ещё в мае 2026 года. Все четыре требуют физического доступа к устройству — злоумышленник, имеющий его, получает доступ к зашифрованным данным. Для организаций с ноутбуками в разъездах или незащищёнными серверными стойками это вполне реальный вектор.
Уязвимость CVE-2026-49160 в HTTP.sys заслуживает отдельного внимания из-за техники HTTP2/Bomb. В тестах на IIS атака исчерпала 64 ГБ оперативной памяти примерно за 45 секунд. Microsoft в качестве меры защиты ввела новый параметр реестра MaxHeadersCount, ограничивающий количество заголовков в HTTP/2 (HPACK) и HTTP/3 (QPACK) запросах. Официальная формулировка: «Ограничение заголовков HTTP помогает защитить системы и серверы от избыточного потребления памяти, высокой нагрузки на CPU и атак типа отказ в обслуживании... применение такого лимита, как MaxHeadersCount, помогает поддерживать производительность и надёжность». Веб-серверы под HTTP.sys должны получить этот параметр реестра сразу.
Отдельная история связана с уязвимостью MiniPlasma — это регрессия исправления CVE-2020-17103, первоначально закрытого ещё в декабре 2020 года. Chaotic Eclipse обнаружил, что тогдашний патч был неполным. Microsoft в своём advisory прямо написала: «Для комплексного устранения уязвимости CVE-2020-17103, недавно публично известной как MiniPlasma, Microsoft рекомендует установить обновления за июнь 2026 года для ваших операционных систем Windows». Шесть лет между первым патчем и полным закрытием — это показательно.
На момент выхода июньских исправлений Chaotic Eclipse опубликовал новый PoC под названием RoguePlanet — zero-day в Microsoft Defender, эксплуатирующий состояние гонки (race condition). Результат: запуск командной строки Windows с привилегиями SYSTEM. Патча для RoguePlanet в июньском выпуске нет, PoC находится в открытом доступе.
Рекордное число CVE за один месяц эксперты связывают с массовым распространением ИИ-инструментов для поиска уязвимостей. Satnam Narang, старший инженер-исследователь Tenable, сформулировал это так: «Ящик Пандоры открыт, и по мере появления более совершенных ИИ-моделей мы ожидаем, что норма продолжит расти повсеместно, а не только для Patch Tuesday». Dustin Childs, руководитель Threat Awareness в Trend Micro Zero Day Initiative (ZDI), добавил конкретики: «Текущее количество CVE, опубликованных Microsoft в этом году, уже превышает общее число CVE за весь 2018 год». И там же: «Поразительно, что Microsoft способна выпускать столько патчей за один месяц, и я уверен, что многие тестировщики сейчас задаются вопросом о возможных проблемах с качеством». Это не пустые слова — при таком темпе регрессии вроде MiniPlasma становятся почти неизбежными.
Три уязвимости были публично раскрыты до выхода патчей. Первая — CVE-2026-50507 (CVSS 6.8), обход BitLocker, который исследователь Will Dormann идентифицировал как исправление для техники под названием bitskrieg: она открывает полный доступ к зашифрованным данным на диске. Вторая — CVE-2026-49160 (CVSS 7.5), отказ в обслуживании в HTTP.sys через технику HTTP2/Bomb. Третья — CVE-2026-45586 (CVSS 7.8), повышение привилегий в Windows Collaborative Translation Framework (CTFMON), предположительно являющееся патчем против эксплойта GreenPlasma, опубликованного исследователем Chaotic Eclipse (также известного как Nightmare-Eclipse).
Самые критичные уязвимости месяца — три RCE с оценкой CVSS 9.8, каждая из которых не требует ни учётных данных, ни какого-либо действия со стороны пользователя. CVE-2026-45657 — Use-After-Free в ядре Windows: атакующий отправляет специально сформированный TCP/IP-трафик на уязвимую систему и получает выполнение кода с привилегиями SYSTEM. Дословно из описания: «Атакующий может проэксплуатировать эту уязвимость, отправив специально сформированный сетевой трафик на уязвимую систему Windows... что потенциально позволяет запустить код с системными привилегиями без необходимости входа в систему или взаимодействия с пользователем». CVE-2026-47291 — целочисленное переполнение в HTTP.sys, та же схема через сеть. CVE-2026-44815 — переполнение стекового буфера в DHCP Client.
По поводу CVE-2026-44815 высказался Alex Vovk, CEO и сооснователь Action1: «Эта уязвимость не требует учётных данных или действий пользователя и способна превратить сетевой трафик в полную компрометацию системы». Он также пояснил, что атакующий может отправить специально сформированный трафик на систему, настроенную для DHCP-сервисов, и добиться несанкционированного выполнения кода по сети с высоким влиянием на конфиденциальность, целостность и доступность. Поскольку DHCP — базовая сетевая функция, риски включают компрометацию серверов, развёртывание вредоносного ПО, кражу данных и горизонтальное перемещение по сети. Системы, обрабатывающие DHCP-трафик, Vovk назвал приоритетными целями для немедленного патчинга.
BitLocker в этом месяце получил целый кластер исправлений — четыре CVE. Помимо уже упомянутого CVE-2026-50507 (bitskrieg, zero-day), закрыты CVE-2026-45585 (CVSS 6.8, эксплойт YellowKey), CVE-2026-45655 (CVSS 5.3) и CVE-2026-45658 (CVSS 7.8). YellowKey был опубликован Chaotic Eclipse ещё в мае 2026 года. Все четыре требуют физического доступа к устройству — злоумышленник, имеющий его, получает доступ к зашифрованным данным. Для организаций с ноутбуками в разъездах или незащищёнными серверными стойками это вполне реальный вектор.
Уязвимость CVE-2026-49160 в HTTP.sys заслуживает отдельного внимания из-за техники HTTP2/Bomb. В тестах на IIS атака исчерпала 64 ГБ оперативной памяти примерно за 45 секунд. Microsoft в качестве меры защиты ввела новый параметр реестра MaxHeadersCount, ограничивающий количество заголовков в HTTP/2 (HPACK) и HTTP/3 (QPACK) запросах. Официальная формулировка: «Ограничение заголовков HTTP помогает защитить системы и серверы от избыточного потребления памяти, высокой нагрузки на CPU и атак типа отказ в обслуживании... применение такого лимита, как MaxHeadersCount, помогает поддерживать производительность и надёжность». Веб-серверы под HTTP.sys должны получить этот параметр реестра сразу.
Отдельная история связана с уязвимостью MiniPlasma — это регрессия исправления CVE-2020-17103, первоначально закрытого ещё в декабре 2020 года. Chaotic Eclipse обнаружил, что тогдашний патч был неполным. Microsoft в своём advisory прямо написала: «Для комплексного устранения уязвимости CVE-2020-17103, недавно публично известной как MiniPlasma, Microsoft рекомендует установить обновления за июнь 2026 года для ваших операционных систем Windows». Шесть лет между первым патчем и полным закрытием — это показательно.
На момент выхода июньских исправлений Chaotic Eclipse опубликовал новый PoC под названием RoguePlanet — zero-day в Microsoft Defender, эксплуатирующий состояние гонки (race condition). Результат: запуск командной строки Windows с привилегиями SYSTEM. Патча для RoguePlanet в июньском выпуске нет, PoC находится в открытом доступе.
Рекордное число CVE за один месяц эксперты связывают с массовым распространением ИИ-инструментов для поиска уязвимостей. Satnam Narang, старший инженер-исследователь Tenable, сформулировал это так: «Ящик Пандоры открыт, и по мере появления более совершенных ИИ-моделей мы ожидаем, что норма продолжит расти повсеместно, а не только для Patch Tuesday». Dustin Childs, руководитель Threat Awareness в Trend Micro Zero Day Initiative (ZDI), добавил конкретики: «Текущее количество CVE, опубликованных Microsoft в этом году, уже превышает общее число CVE за весь 2018 год». И там же: «Поразительно, что Microsoft способна выпускать столько патчей за один месяц, и я уверен, что многие тестировщики сейчас задаются вопросом о возможных проблемах с качеством». Это не пустые слова — при таком темпе регрессии вроде MiniPlasma становятся почти неизбежными.
