Майкрософт Сегодня было выпущено обновление, исправляющее более 50 недостатков безопасности. окна Операционные системы и другое программное обеспечение, включая исправления для шести уязвимостей «нулевого дня», которыми злоумышленники уже активно пользуются.
«Нулевой день №1» в этом месяце — CVE-2026-21510, уязвимость, позволяющая обойти функцию безопасности. оболочка Windows При этом щелчок по вредоносной ссылке может незаметно обойти систему безопасности Windows и воспроизвести контент, контролируемый злоумышленником, без предупреждения или диалогового окна согласия. CVE-2026-21510 затрагивает все поддерживаемые в настоящее время версии Windows.
Уязвимость нулевого дня CVE-2026-21513 представляет собой попытку обхода системы безопасности. мсhtmlСобственный движок веб-браузера по умолчанию в Windows. CVE-2026-21514 имеет связанный обход функции безопасности. Microsoft Word.
CVE-2026-21533 нулевого дня позволяет локальным злоумышленникам повысить привилегии своих пользователей до уровня доступа «системы». Службы удаленных рабочих столов Windows. CVE-2026-21519 содержит уязвимость, связанную с повышением привилегий нулевого дня. оконный менеджер рабочего стола (DWM), ключевой компонент Windows, который упорядочивает окна на экране пользователя. Microsoft исправила отдельный нулевой день в DWM только в прошлом месяце.
Шестая уязвимость нулевого дня — CVE-2026-21525, потенциально опасная уязвимость типа «отказ в обслуживании». диспетчер подключений удаленного доступа WindowsСлужба, отвечающая за поддержание VPN-подключения к корпоративной сети.
Крис Геттель Но Иванти Напоминает нам, что Microsoft выпустила несколько дополнительных обновлений безопасности после январского вторника исправлений. 17 января Microsoft выпустила исправление, устраняющее сбой запроса учетных данных при попытке подключения к удаленному рабочему столу или удаленному приложению. 26 января Microsoft исправила уязвимость обхода функции безопасности нулевого дня (CVE-2026-21509). Майкрософт Офис.
Кев Брин Но захватывающий Обратите внимание, что «Вторник обновлений» этого месяца включает несколько исправлений уязвимостей, влияющих на удаленное выполнение кода. GitHub второй пилот и включает в себя несколько интегрированных сред разработки (IDE). против кода, визуальная студияИ реактивные мозги продукт. Соответствующие CVE: CVE-2026-21516, CVE-2026-21523 и CVE-2026-21256.
Брин сказал, что уязвимости ИИ, исправленные Microsoft в этом месяце, возникли из-за ошибки внедрения команд, которая может быть вызвана быстрым внедрением или обманом заставить агента ИИ делать что-то, чего он не должен — например, выполнять вредоносный код или команды.
«Разработчики являются ценными целями для злоумышленников, поскольку они часто имеют доступ к конфиденциальным данным, таким как ключи API и секреты, которые служат ключами к критической инфраструктуре, включая привилегированные ключи API AWS или Azure», — сказал Брин. “Когда организации позволяют разработчикам и конвейерам автоматизации использовать LLM и агентный искусственный интеллект, вредоносный сигнал может иметь значительное влияние. Это не означает, что организации должны прекратить использование искусственного интеллекта. Это означает, что разработчики должны понимать риски, команды должны четко определять, к каким системам и рабочим процессам агенты искусственного интеллекта имеют доступ, и ограничивать радиус взрыва, если секреты разработчиков будут скомпрометированы. Должны применяться принципы наименьших привилегий”.
Центр интернет-штормов SANS Вот интерактивное описание каждого отдельного исправления от Microsoft в этом месяце, проиндексированное по серьезности и баллу CVSS. Администраторам корпоративной Windows, участвующим в тестировании исправлений перед их выпуском, следует следить за сайтом Askwoody.com, на котором зачастую не хватает нестандартных обновлений. Пожалуйста, не пренебрегайте резервным копированием своих данных, если вы это делали давно, и не стесняйтесь комментировать, если у вас возникнут какие-либо проблемы с установкой любого из этих исправлений.
