На прошлой неделе компания Microsoft выпустила очередной кумулятивный набор патчей для своих продуктов. В соответствии с общей тенденцией на увеличение количества обнаруживаемых уязвимостей за единицу времени, данный релиз исправляет рекордные 206 уязвимостей, из них 39 имеют статус критических. Если делить заплатки по категориям, то 63 патча закрывают уязвимости, ведущие к повышению привилегий, 56 багов обеспечивают выполнение произвольного кода, еще 30 могут приводить к утечке информации.

Наиболее опасная уязвимость имеет идентификатор CVE-2026-45657, близкий к максимальному рейтинг опасности 9,8 балла по шкале CVSS. Это ошибка в ядре Windows при обработке сетевых пакетов данных, результатом эксплуатации которой может быть удаленное выполнение произвольного кода, затрагивает она Windows 11, а также Windows Server 2022 и 2025. Такого же высокого рейтинга удостоились еще две проблемы — CVE-2026-47291 и CVE-2026-44815, они также относятся к сетевому стеку в Windows, соответственно затрагивая драйвер HTTP.sys и встроенный клиент DHCP. Кроме того, была закрыта уязвимость, позволяющая обойти BitLocker, ранее раскрытая анонимом, известным как Nightmare Eclipse. Об этом многомесячном противостоянии стоит поговорить подробнее.

Nightmare Eclipse (известный также как Chaotic Eclipse) активно выражает свою неудовлетворенность тем, как Microsoft работает со сторонними исследователями. Ходят слухи, что он является бывшим сотрудником Microsoft. Начиная с марта этого года он последовательно публикует подробную информацию о достаточно опасных уязвимостях в Windows в открытом доступе. Всего было «слито» как минимум восемь уязвимостей, из них три начали активно использоваться в реальных атаках, после того как Nightmare Eclipse опубликовал работающий proof of concept. В конце мая драма получила свое развитие в виде реакции Microsoft: учетки Nightmare Eclipse на GitHub были заблокированы, а в отдельной публикации компания пригрозила правовыми последствиями.

Кумулятивный патч прошлой недели закрывает три уязвимости, опубликованные анонимом ранее, известные как YellowKey (позволяет обойти систему шифрования BitLocker), GreenPlasma и MiniPlasma (обе приводят к повышению привилегий). Но за день до выпуска набора патчей Nightmare Eclipse опубликовал информацию об еще одной уязвимости, названной им RoguePlanet. Это еще одна ошибка, создающая условия для получения системных привилегий, в этот раз затрагивающая Microsoft Defender.

Реакция Microsoft с угрозой, грубо говоря, «позвонить в полицию» вызвала критику специалистов по безопасности. Позднее компания выпустила несколько более мирное заявление, в котором говорится уже об отсутствии намерений юридически преследовать независимых специалистов, которые заняты исследованиями в сфере безопасности. Nightmare Eclipse, в свою очередь, «отложил» обещанную ранее публикацию какой-то еще более серьезной уязвимости, запланированную им на 14 июля. Краткая сводка мнений об этом инциденте следующая: публикация информации об уязвимостях без патча наносит не меньший вред, чем деятельность киберкриминальных группировок. Но ответственность тут так или иначе лежит на Microsoft — это их софт, в конце концов, и им же в любом случае придется договариваться с сообществом, включая таких непростых его представителей. Координированная публикация информации об уязвимости, направленная на то, чтобы не навредить пользователям, — это предпочитаемый способ такого взаимодействия. Особенно это актуально в условиях развития возможностей ИИ-ассистентов для поиска ошибок в коде: багрепортов становится больше, и нагрузка на участников процесса растет.

Что еще произошло

Сотни вредоносных пакетов обнаружены в репозитории AUR Linux-дистрибутива Arch Linux (новость на Хабре, исследование компании Sonatype). Репозиторий AUR атакован по схожей схеме с массовыми «вбросами» вредоносного ПО в другие публичные репозитории, такие как NPM. Организаторы атаки перехватывали контроль над заброшенными проектами в AUR, модифицировали инструкции для установки так, чтобы вместе с легитимным пакетом устанавливался инфостилер.

А вот в свежем исследовании об атаках на пакеты в репозитории PyPi обнаружено интересное нововведение: в комментариях вредоносного кода содержится якобы промпт, задачей которого является срабатывание механизмов безопасности публичных ИИ-ассистентов. В частности, такой комментарий упоминает «разработку ядерного оружия». Очевидной целью является блокировка попыток потенциальных жертв проанализировать подозрительный код с помощью ИИ.

В этой публикации исследователи компании Varonis оценивают, насколько «обертка» над ИИ-ассистентами OpenClaw подвержена фишингу. Краткий вывод: очень даже подвержена. В ряде случаев авторам отчета удалось заставить OpenClaw отправить условному злоумышленнику ключи доступа к сервису AWS и SSH-серверу, пароли доступа к базам данных.

Еще одна серьезная уязвимость обнаружена в ядре Linux. Ошибка с идентификатором CVE-2026-23111 относится к подсистеме nf_tables, используемой для фильтрации сетевых пакетов. Как и другие недавно обнаруженные уязвимости в ядре, эта проблема также может приводить к повышению привилегий. Подробное описание уязвимости с примерами кода доступно здесь.

Закрыта пятая с начала года уязвимость в браузере Google Chrome, на момент обнаружения используемая в реальных атаках.

На конференции WWDC 2026 представители Apple продемонстрировали автоматизированную систему смены небезопасных паролей в различных сетевых сервисах.