Microsoft закрила більше 100 уразливостей у Windows і Office, включаючи критичні RCE-дірки

Microsoft випустила пакет виправлень у рамках "вівторка патчів" (Patch Tuesday), усунувши 107 вразливостей у Windows, Office, браузері Edge та інших сервісах. Серед багів є кілька критичних, однак, за даними компанії, жоден з них поки не використовувався зловмисниками у реальних атаках. Серед виправлень - 67 зачіпають різні версії операційної системи Windows, що підтримуються, включаючи Windows 10, Windows 11 і Windows Server. При цьому низка вразливостей, як повідомляє PCWorld, класифікована як критична. У тому числі CVE-2025-53766, що є вразливість віддаленого виконання коду (RCE) в інтерфейсі графічних пристроїв (Graphics Device Interface API), і CVE-2025-50165 в Windows Graphics Component. Обидві дозволяють виконати довільний код на пристрої користувача без його участі, навіщо жертві досить просто відвідати спеціально створений сайт. У компонентах віртуалізації Hyper-V виправлено три критичні вразливості. Перша CVE-2025-48807 дозволяла виконувати код на хост-системі з гостьової віртуальної машини; друга, CVE-2025-53781, призводила до витоку конфіденційних даних; CVE-2025-49707 є вразливістю заміни ідентифікації, що дозволяє віртуальній машині імітувати інший мережевий пристрій при взаємодії із зовнішніми системами. Також усунено 12 уразливостей у службі маршрутизації та віддаленого доступу (Routing and Remote Access Service, RRAS), половина з яких відноситься до типу RCE, а інша половина – до витоків даних. Усі вони оцінені як високоризикові. У Microsoft Office усунено 18 вразливостей, з яких 16 відносяться до типу віддаленого виконання коду. Чотири з них, включаючи дві в Word, визнані критичними, оскільки експлуатація можлива через вікно попереднього перегляду і не вимагає від користувача відкриття файлу або виконання будь-яких дій. Інші вразливості в Office класифікуються як високоризикові та, навпаки, вимагають від користувача відкриття спеціального файлу. Браузер Microsoft Edge для ПК також отримав оновлення до версії 139.0.3405.86 (на базі Chromium 139.0.7258.67) з виправленнями безпеки, а версії для Android усунуто дві специфічні помилки. Наступного «вівторка патчів» заплановано на 9 вересня 2025 року. Microsoft рекомендує користувачам застарілих систем Windows 7 та Windows 8.1, які вже не отримують регулярних оновлень, перейти на Windows 11 24H2 для продовження підтримки та отримання актуальних оновлень.