Липневі патчі Microsoft виправляють понад 600 недоліків Windows 11: побито рекорд минулого місяця

Вчора відбувся липневий Patch Tuesday, у межах якого Microsoft випустила оновлення безпеки, що усувають 570 нових вразливостей. Якщо врахувати всі патчі, випущені компанією з початку місяця, загальна кількість виправлень перевищує 620.

Читайте также: Як тобі таке, Sony: ПК-геймер перетворює ігри зі Steam на картриджі за допомогою SSD


Назвати це новим рекордом було б великим применшенням — попередній рекорд становив 206 виправлень і був встановлений лише минулого місяця. Загальна кількість вразливостей, усунених Microsoft з початку 2026 року (1380), вже перевищила рекордний показник 2020 року (1250). Наступний Patch Tuesday запланований на 11 серпня 2026 року.

Оновлення безпеки Windows

Понад 400 виправлених цього місяця вразливостей стосуються різних підтримуваних версій Windows — Windows 10, Windows 11 та Windows Server. Нещодавно Microsoft також продовжила програму розширених оновлень безпеки (ESU) для Windows 10 до 12 жовтня 2027 року.

Атаки на Active Directory

Єдиною вразливістю Windows, яка вже активно експлуатується зловмисниками, стала критична проблема підвищення привілеїв CVE-2026-56155 в Active Directory Federation Services (ADFS). Через недостатньо деталізовані механізми контролю доступу атакувальник може отримати права адміністратора. Вразливість зачіпає Windows Server 2012–2025, а також старі випуски Windows 10 версій 1607 і 1809.


Критичні вразливості Windows

Із 413 виправлених цього місяця вразливостей Windows:

  • 24 є критичними вразливостями віддаленого виконання коду (RCE);
  • 7 — критичними вразливостями підвищення привілеїв (EoP).

Особливо виділяється вразливість типу Use-After-Free (UAF) CVE-2026-57092 у компоненті Hyper-V VMSwitch. Вона дозволяє зловмиснику з мінімальними привілеями всередині гостьової віртуальної машини отримати підвищені привілеї вже на хост-системі.

“У Remote Desktop Protocol (RDP) виправлено RCE-вразливість CVE-2026-56190. Вона може бути використана шляхом надсилання спеціально сформованих пакетів RDP, які взаємодіють із неправильно ініціалізованою пам’яттю. Це відкриває можливість змінити її вміст таким чином, щоб виконати шкідливий код”, — зазначає PC World.

Також Microsoft усунула RCE-вразливість CVE-2026-50518 у DHCP Server — одну з дев’яти проблем безпеки DHCP, виправлених цього місяця. Крім того, виправлено CVE-2026-56188 у мережевому драйвері Windows Server. Зловмисник може використати спеціально сформовані мережеві пакети для виконання довільного коду на вразливих системах. Проблема зачіпає всі підтримувані редакції Windows — від Windows 10 до Windows Server 2025.

Оновлення безпеки Microsoft Office

Microsoft виправила 97 вразливостей у продуктах Office — майже вдвічі більше, ніж у червні. Серед них:

  • 17 критичних RCE-вразливостей;
  • 48 інших RCE-вразливостей, які можуть бути використані після відкриття шкідливого документа Office.

У багатьох випадках достатньо лише панелі попереднього перегляду — користувачу навіть не потрібно відкривати файл, щоб атака стала успішною.

Читайте также: Перший погляд на Ентоні Іпполіто в образі молодого Сильвестра Сталлоне в трейлері байопіка “Я — Роккі”

“Серед менш критичних, але не менш небезпечних проблем, уже активно експлуатується вразливість підвищення привілеїв CVE-2026-56164 у SharePoint Server, яка дозволяє отримати доступ через мережу без автентифікації користувача. Вразливість обходу механізмів безпеки CVE-2026-55040 у SharePoint Server також дозволяє отримувати доступ до файлів без автентифікації”, — пише PC World.

Ще дві вразливості SharePoint — CVE-2026-50522 та CVE-2026-58644 — класифікуються як критичні RCE. Для CVE-2026-50522 вже була продемонстрована робоча експлуатація під час хакерського змагання Pwn2Own.

Оновлення безпеки Exchange Server

У Exchange Server Microsoft цього місяця виправила чотири вразливості, а ще одну — в Exchange Online. Вразливість підміни CVE-2026-55008, що базується на міжсайтовому скриптингу (XSS), дозволяє виконувати довільний JavaScript-код у браузері, якщо користувач відкриє шкідливий лист через Outlook Web Access (OWA).

Оновлення безпеки Microsoft Edge

Останнє оновлення безпеки для Microsoft Edge 150.0.4078.65 датоване 9 липня та базується на Chromium 150.0.7871.115. Воно усуває 27 вразливостей Chromium. Ці виправлення не входять до загальної кількості понад 620 вразливостей, як і майже 400 інших проблем Chromium, виправлених на початку липня. Якби їх врахували, загальна кількість усунених цього місяця вразливостей перевищила б 1000.

Оновлення безпеки для геймерів

Microsoft уже виправила RCE-вразливість CVE-2026-55010 у виділених серверах Minecraft Bedrock. За словами компанії, адміністраторам серверів не потрібно виконувати жодних додаткових дій.

Водночас власникам Age of Empires II: Definitive Edition необхідно встановити оновлення. Вразливість CVE-2026-50663 дозволяє зловмиснику створити спеціально підготовлений файл сценарію гри та переконати інших користувачів відкрити його. У результаті на комп’ютері може бути розміщений файл зі шкідливим кодом у неочікуваному місці, після чого цей код потенційно може бути виконаний.


Microsoft пояснила рекорд використанням ШІ

У Microsoft заявили, що безпрецедентна кількість виправлених уразливостей не означає різкого погіршення безпеки її продуктів. За словами компанії, головною причиною рекордного липневого Patch Tuesday стало активне використання систем штучного інтелекту, які допомагають значно швидше знаходити потенційні помилки в коді ще до того, як ними скористаються зловмисники.

Для цього Microsoft застосовує власну платформу MDASH (Multi-Model Agentic Scanning Harness). Вона поєднує можливості кількох великих мовних моделей, які автоматично аналізують вихідний код, шукають потенційні вразливості, перевіряють результати одна одної та відсіюють хибні спрацювання. Лише після цього знахідки передаються фахівцям із безпеки для подальшого аналізу.

Читайте также: Jurassic World Evolution 2 вийде на Nintendo Switch 2

Джерело: PC World

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *