Рекордный «вторник патчей» от Microsoft: 200 уязвимостей и протестные 0-day

Три раскрытые уязвимости нулевого дня

Ключевой момент: ни одна из трех zero-day уязвимостей не использовалась злоумышленниками в реальных атаках на момент выхода патчей .

CVE-2026-45586 — Повышение привилегий в CTFMON (GreenPlasma)

Это уязвимость типа «переход по ссылке» в компоненте Windows CTFMON (Collaborative Translation Framework). Она позволяет аутентифицированному злоумышленнику локально повысить привилегии до уровня SYSTEM. Microsoft указала анонимного источник, но исследователи быстро связали ее с эксплойтом «GreenPlasma», публично выложенным исследователем Nightmare Eclipse (также известного как «Chaotic Eclipse»). Публикация была частью кампании протеста против программ выплаты вознаграждений и раскрытия уязвимостей Microsoft .

CVE-2026-49160 — Отказ в обслуживании HTTP.sys («HTTP/2 Bomb»)

Это уязвимость неконтролируемого потребления ресурсов (CWE-400) в стеке протокола HTTP/2 с оценкой 7.5 по шкале CVSS. Неаутентифицированный удаленный злоумышленник может отправить небольшой объем данных, что заставит сервер выделить несоразмерно большой объем памяти. Манипулируя параметрами управления потоком HTTP/2, атакующий может удерживать эту память занятой неограниченное время . Уязвимость обнаружена Куангом Луонгом и Codex из Calif.io. Атака способна вывести из строя уязвимые веб-серверы за считанные секунды . В качестве меры защиты Microsoft ввела новый параметр реестра MaxHeadersCount (документирован в KB5102602) для ограничения заголовков HTTP/2 и HTTP/3 запросов .

CVE-2026-50507 — Обход функции безопасности BitLocker (YellowKey)

Это сбой механизма защиты, позволяющий неаутентифицированному злоумышленнику с физическим доступом обойти шифрование BitLocker, используя среду восстановления (Windows Recovery Environment) на дисках, защищенных только TPM. Это второй эксплойт из кампании Nightmare Eclipse, исправленный в этом месяце, публично известный как «YellowKey» .

Кампания Nightmare Eclipse

Исследователь Nightmare Eclipse публично выложил серию zero-day уязвимостей для Windows — под названиями BlueHammer, MiniPlasma, RedSun, UnDefend, GreenPlasma и YellowKey — в знак протеста против того, как Microsoft обрабатывает выплаты за найденные ошибки (bug bounty). Хотя июньские патчи закрыли GreenPlasma и YellowKey, три другие уязвимости из той же кампании (BlueHammer, RedSun и UnDefend) уже активно применялись в атаках в начале июня, что побудило Агентство по кибербезопасности и защите инфраструктуры США (CISA) внести их в свой каталог известных эксплуатируемых уязвимостей .

Что нового в накопительном обновлении для Windows 11

Обязательные июньские апдейты для Windows 11 принесли не только исправления безопасности. Были выпущены два основных накопительных обновления: KB5094126 для версий 25H2 (сборка 26200.8457) и 24H2 (сборка 26100.8457), а также KB5093998 для версии 23H2 (сборка 22631.7079) . Также Microsoft выпустила расширенное обновление безопасности KB5094127 для Windows 10 .

Ключевые новые функции обновления для Windows 11 :

• Режим Xbox (Xbox Mode): Возможность получить на ПК интерфейс, как на консоли Xbox; теперь развертывается на большем количестве устройств.
• Общий звук (Shared Audio): Два человека могут одновременно слушать один аудиопоток с одного ПК, используя Bluetooth LE Audio.
• Мониторинг NPU в диспетчере задач: Теперь отображается использование NPU, выделенная/совместная память и другие метрики для нейронных процессоров.
• Мультиприкладная камера: Несколько приложений могут одновременно получать доступ к видеопотоку с камеры.
• Улучшения производительности: Новый профиль с низкой задержкой ускоряет запуск приложений и системных элементов: «Пуск», «Поиск» и «Центр уведомлений».
• Улучшения установки: Пользователи теперь могут выбрать собственное имя для своей папки во время первоначальной настройки Windows.

Общий ландшафт угроз: Adobe тоже в игре

В тот же день Adobe выпустила 11 бюллетеней безопасности, закрывающих 123 уязвимости в таких продуктах, как Acrobat Reader, ColdFusion, InDesign и Experience Manager. Из них 47 признаны критическими и могут привести к выполнению произвольного кода, повышению привилегий или отказу в обслуживании .

В совокупности Microsoft и Adobe выпустили исправления для 329 уязвимостей 9 июня 2026 года . Более широкая экосистема также не осталась в стороне: ранее в этом месяце Google исправила 360 ошибок в Microsoft Edge/Chromium — уязвимости, которые не входят в стандартный подсчет «вторника патчей» .