Microsoft обновила рекорд Patch Tuesday: закрыто почти 200 уязвимостей за месяц

Всего было устранено 198 уязвимостей (CVE — Common Vulnerabilities and Exposures), среди которых 32 получили статус критических, а 166 — важных. Предыдущий максимум был зафиксирован в октябре 2025 года, когда компания закрыла 167 уязвимостей.

Такой рост объема обновлений уже сам по себе привлекает внимание специалистов по кибербезопасности, но главным фактором риска в этом месяце стали три уязвимости нулевого дня, информация о которых стала публичной до выхода патчей.

Особую тревогу вызвали три zero-day уязвимости, каждая из которых затрагивает разные компоненты Windows и потенциально может быть использована в реальных атаках.

Среди 54 исправлений, связанных с удаленным выполнением кода (RCE), особенно выделяется группа уязвимостей в Remote Desktop Client. Здесь устранено 11 проблем, включая критические сценарии, при которых открытие вредоносного RDP-файла или подключение к зараженному серверу может привести к выполнению произвольного кода.

Отдельное внимание вызывает подсистема виртуализации Hyper-V. В ней закрыты три критические RCE-уязвимости: CVE-2026-47652, CVE-2026-45641 и CVE-2026-45607. Их эксплуатация теоретически позволяет выполнить так называемый VM escape — выйти из гостевой виртуальной машины и получить доступ к хост-системе. Для облачных инфраструктур и серверных сред это один из наиболее опасных сценариев.

Помимо ключевых рисков, патч затронул широкий спектр компонентов Windows и сервисов Microsoft. Исправления получили:

По распределению типов уязвимостей картина выглядит следующим образом: около 31,8% связаны с повышением привилегий, а 27,3% — с удаленным выполнением кода.

zdnet