Microsoft затвори над 100 уязвимости в Windows и Office, включително критични RCE-дупки
Microsoft пусна пакет от кръпки в границите на Patch Tuesday, които се отнасят до 107 уязвимости в Windows, Office, браузъра Edge и други услуги. Сред уязвимостите има няколко сериозни, само че съгласно компанията нито една от тях към момента не е била употребена от нападатели в действителни офанзиви.
67 от уязвимостите засягат разнообразни поддържани версии на операционната система Windows, в това число Windows 10, Windows 11 и Windows Server.
Същевременно редица от тях са класифицирани като сериозни, както оповестява PCWorld. Сред тях са CVE-2025-53766, която съставлява накърнимост за отдалечено осъществяване на код (RCE) в API на интерфейса на графичното устройство и CVE-2025-50165 в графичния съставен елемент на Windows (Graphics Device Interface API). И двете разрешават осъществяването на случаен код на потребителското устройство без присъединяване на потребителя, като за задачата е задоволително жертвата да посети особено основан уеб страница.
Закърпени са три сериозни уязвимости в съставените елементи за виртуализация Hyper-V. Първата, CVE-2025-48807 разрешава осъществяването на код върху хост система от гостуваща виртуална машина. Втората, CVE-2025-53781 води до приключване на чувствителни данни. Третата, CVE-2025-49707 е накърнимост за замяна на идентичността, която разрешава на виртуална машина да имитира друго мрежово устройство при връзка с външни системи.
Отстранени са и 12 уязвимости в услугата за маршрутизиране и далечен достъп (RRAS), половината от които са уязвимости от вида RCE, а другата половина са уязвимости, свързани с приключване на данни. Всички те са оценени като високорискови.
В пакета Office на Microsoft са закърпени 18 уязвимости, 16 от които са от вида „ отдалечено осъществяване на код “.
Четири от тях, в това число две в приложението Word са приети за сериозни, защото потреблението им е допустимо посредством прозорец за прелиминарен обзор и не изисква от потребителя да отвори файл или да извърши някакви дейности. Останалите уязвимости в Office са класифицирани като високорискови и назад, изискват от потребителя да отвори специфичен файл.
Браузърът Edge на Microsoft за лични компютри също получи актуализация до версия 139.0.3405.86 (базирана на Chromium 139.0.7258.67) с ремонти на сигурността, а във версията за Android са отстранени два съответни бъга. Следващият „ Patch Tuesday “ е плануван за 9 септември.
Microsoft предлага на потребителите на остарелите операционни системи Windows 7 и Windows 8.1, които към този момент не получават постоянни актуализации да преминат към Windows 11 24H2, с цел да продължат поддръжката и да получават най-новите актуализации.
