Microsoft выпустил крупнейший за месяц пакет исправлений: 165 уязвимостей, включая активно эксплуатируемую

Microsoft выпустил второй по величине пакет исправлений за месяц

В рамках июльского обновления Patch Tuesday компания Microsoft устранила 165 уязвимостей, затрагивающих различные продукты и системы. Среди них — одна активно эксплуатируемая уязвимость в Microsoft Office SharePoint.

Рекордный масштаб обновлений

«По моим подсчётам, это второй по величине ежемесячный релиз в истории Microsoft», — заявил Дастин Чилдс, глава отдела анализа угроз Zero Day Initiative компании Trend Micro, в своём блоге.

Причина столь масштабного обновления не была объяснена Microsoft. Однако Чилдс отметил, что количество обнаруженных уязвимостей резко возросло благодаря использованию инструментов на основе искусственного интеллекта. «Наша скорость поступления уязвимостей выросла в три раза, что значительно усложняет их обработку», — добавил он.

Активно эксплуатируемая уязвимость в SharePoint

Нулевой день — CVE-2026-32201 с рейтингом CVSS 6.5 — позволяет злоумышленникам просматривать конфиденциальную информацию и вносить изменения в опубликованные данные. Уязвимость возникает из-за неправильной проверки входных данных в Microsoft Office SharePoint и позволяет неаутентифицированным атакующим выполнять подмену данных через сеть.

Агентство кибербезопасности и инфраструктурной безопасности США (CISA) оперативно добавило эту уязвимость в каталог известных эксплуатируемых угроз.

Высокий риск: уязвимость в Microsoft Defender

Кроме того, Microsoft устранила уязвимость высокой степени опасности — CVE-2026-33825, которая была известна на момент публикации обновления. По словам компании, этот дефект в Microsoft Defender с большей вероятностью может быть использован для повышения привилегий локально.

«Начальная точка атаки может быстро перерасти в полный контроль над системой», — заявил Джек Бицер, директор по исследованиям уязвимостей компании Action1, в своём блоге.

«После эксплуатации уязвимости злоумышленники получают полный доступ к конечным точкам, что позволяет им похищать данные, отключать защитные инструменты и распространять атаку по сети», — добавил он.

Эксплойт-код для этой уязвимости уже доступен в открытых источниках, что повышает риск её использования в реальных атаках.

Две критические уязвимости с низким риском эксплуатации

В этом месяце Microsoft также сообщила о двух критических уязвимостях: CVE-2026-33824 (затрагивает Windows IKE Extension) и CVE-2026-26149 (затрагивает Microsoft Power Apps). Однако компания оценила их как маловероятные к эксплуатации.

По данным Microsoft, более трёх четвертей всех уязвимостей, исправленных в этом месяце, имеют низкий риск эксплуатации. При этом 19 уязвимостей были признаны более вероятными для использования злоумышленниками.

Где найти полный список уязвимостей?

Полный перечень исправленных уязвимостей доступен на сайте Microsoft Security Response Center.