Компания Microsoft выпустила майский пакет обновлений Patch Tuesday, устранив 137 уязвимостей в своих продуктах и системах. Несмотря на рекордное количество исправлений, ни одна из них не была активно эксплуатироваться хакерами на момент публикации.
Среди исправленных дефектов 13 получили статус критических по шкале CVSS. Особое внимание привлекли уязвимости в Azure (CVE-2026-33109 и CVE-2026-42823) и Microsoft Dynamics 365 (CVE-2026-42898) с рейтингом 9.9.
Эксперты также выделили 13 уязвимостей, которые с высокой вероятностью могут быть использованы злоумышленниками, и 113 — с низким риском эксплуатации.
Рост числа уязвимостей: влияние искусственного интеллекта
Увеличение количества обнаруженных дефектов связано с активным внедрением ИИ в процессы тестирования и поиска уязвимостей. Как отметил Дастин Чилдс, глава отдела осведомленности о угрозах в Trend Micro, ИИ может участвовать даже в подготовке отчетов об уязвимостях.
«Не все баги были найдены с помощью ИИ, но даже в тех случаях, когда он использовался только для написания отчетов, это уже меняет ситуацию».
Наиболее опасные уязвимости
Чилдс обратил внимание на уязвимость CVE-2026-41096 в Windows DNS, которая позволяет удаленно выполнять код без аутентификации. Поскольку DNS-клиент установлен на большинстве Windows-систем, атака может охватить всю корпоративную сеть.
Еще одна критичная уязвимость — CVE-2026-41089 в Windows Netlogon, позволяющая неавторизованным атакующим выполнять произвольный код. Эксперты называют её одной из самых опасных и требующих немедленного исправления.
Джек Бицер, директор по исследованиям уязвимостей в Action1, выделил CVE-2026-42898 в Microsoft Dynamics 365:
«Эта уязвимость позволяет атакующему с минимальным доступом превратить сервер бизнес-приложения в платформу для удаленного выполнения кода. Компрометация Dynamics 365 может привести к утечке данных клиентов, финансовой информации и нарушению бизнес-процессов».
Полный список исправленных уязвимостей доступен на сайте Microsoft Security Response Center.
Похожие статьи
ArXiv вводит годовую блокировку за публикацию статей, сгенерированных ИИ
ArXiv, the open-access repository of preprint academic research, will ban authors of papers for a year if they submit obviously AI-generated work. Lat...
Как создаются главные новости: Behind the Blog о музыке, технологиях и расследованиях
This is Behind the Blog, where we share our behind-the-scenes thoughts about how a few of our top stories of the week came together. This week, we dis...
Новая критическая уязвимость Cisco Catalyst SD-WAN: атаки продолжаются
Attackers returned once again to a common target with a massive user base by exploiting a max-severity zero-day vulnerability affecting Cisco Catalyst...
Клиника Майо использует ИИ для записи разговоров в приёмном покое
Mayo Clinic, the massive U.S. hospital network, is using what it describes as “Ambient Listening” to record patient interactions with nurses, includin...
Эксперт Пентагона: передовые ИИ-модели изменят характер войны
Advanced artificial intelligence models will “fundamentally change warfare as we know it,” a top cyber official at the Defense Department said Thursda...
Эксперт Белого дома: в эпоху ИИ безопасность идентификаций становится критически важной
As AI becomes more integrated into federal IT (and attacker toolsets) government agencies will need to focus their resources on regulating and monitor...
Крупнейший производитель электроники Foxconn пострадал от кибератаки в Северной Америке
Foxconn, one of the world’s largest manufacturers of electronics sold by major tech vendors, is recovering from a cyberattack that disrupted some of t...
Продажа базы данных фекалий: как AI-приложение зарабатывает на личной информации пользователей
A few weeks ago, I came across a wild post on Reddit’s r/DHExchange, a subreddit for trading large datasets: “I hoarded a large database of something...