Во вторник, 10 июня 2026 года, Microsoft выпустила июньский пакет обновлений безопасности, который стал рекордным за всю историю Patch Tuesday. В общей сложности закрыто 206 уязвимостей в различных продуктах компании — от Windows и Office до облачных сервисов Azure и Microsoft 365.
Среди исправленных проблем — пять публично раскрытых уязвимостей нулевого дня (zero-day), одна из которых активно эксплуатировалась злоумышленниками в реальных атаках до выхода патча.
Ключевые уязвимости
Особого внимания заслуживают три уязвимости, получившие собственные названия:
- GreenPlasma (CVE-2026-49160) — уязвимость отказа в обслуживании (DoS) в Microsoft IIS и ряде других веб-серверов. Позволяет удалённому злоумышленнику вывести сервер из строя без аутентификации.
- MiniPlasma и YellowKey — ещё две уязвимости из того же семейства, затрагивающие компоненты Windows и связанные с повышением привилегий.
- Nightmare Eclipse (CVE-2026-45586) — уязвимость повышения привилегий в CTFMON, которую исследователь раскрыл публично в мае вместе с PoC-кодом, что вызвало напряжённое противостояние между ним и Microsoft.
Кроме того, исправлена критическая уязвимость CVE-2026-50507, позволяющая обойти шифрование BitLocker и получить доступ к зашифрованным данным.
Secure Boot на грани
Отдельная головная боль для администраторов — истечение срока действия оригинальных сертификатов Secure Boot в конце июня 2026 года. Microsoft выпустила новые сертификаты ещё в феврале, но ПК, не получившие обновления до дедлайна, могут столкнуться с проблемами при загрузке.
Источник: BleepingComputer / Krebs on Security, 10 июня 2026