Microsoft оновила рекорд Patch Tuesday: за місяць закрито майже 200 вразливостей

Загалом було усунуто 198 вразливостей (CVE — Common Vulnerabilities and Exposures), серед яких 32 отримали статус критичних, а 166 — важливих. Попередній максимум було зафіксовано в жовтні 2025 року, коли компанія закрила 167 вразливостей.

Такий обсяг оновлень сам по собі привертає увагу фахівців із кібербезпеки, однак головним фактором ризику цього місяця стали три вразливості нульового дня, інформація про які стала публічною ще до виходу патчів.

Вразливості нульового дня: ключове джерело ризику

Особливе занепокоєння викликали три zero-day вразливості, кожна з яких зачіпає різні компоненти Windows і потенційно може бути використана в реальних атаках.

CVE-2026-50507 — пов’язана з обходом захисту BitLocker. За наявності фізичного або локального доступу зловмисник може обійти шифрування диска, що особливо небезпечно для корпоративних ноутбуків і викрадених пристроїв.

CVE-2026-49160 — зачіпає HTTP.sys та HTTP/2. Вразливість дозволяє викликати відмову в обслуговуванні вебсерверів без автентифікації, просто шляхом надсилання спеціально сформованих запитів.

CVE-2026-45586 — стосується підвищення привілеїв через компонент CTFMON. Після первинного проникнення атакувальник може отримати права рівня SYSTEM.

RDP та віртуалізація під ударом

Серед 54 виправлень, пов’язаних із віддаленим виконанням коду (RCE), особливо виділяється група вразливостей у Remote Desktop Client. Тут усунуто 11 проблем, зокрема критичні сценарії, за яких відкриття шкідливого RDP-файлу або підключення до зараженого сервера може призвести до виконання довільного коду.

Окрему увагу привертає підсистема віртуалізації Hyper-V. У ній закрито три критичні RCE-вразливості: CVE-2026-47652, CVE-2026-45641 і CVE-2026-45607. Їх експлуатація теоретично дозволяє виконати так званий VM escape — вихід із гостьової віртуальної машини з отриманням доступу до хост-системи. Для хмарних інфраструктур і серверних середовищ це один із найнебезпечніших сценаріїв.

Що ще виправили в оновленні

Окрім ключових ризиків, патч охопив широкий спектр компонентів Windows і сервісів Microsoft. Виправлення отримали:

• Windows File Explorer і NTFS;
• драйвери Bluetooth;
• Boot Manager;
• Microsoft Copilot;
• Exchange Server;
• Microsoft Office.

За розподілом типів вразливостей картина виглядає так: близько 31,8% пов’язані з підвищенням привілеїв, а 27,3% — з віддаленим виконанням коду.