Сегодня прошёл очередной вторник обновлений, знаменуя выпуск патчей от множества крупных производителей программного обеспечения, направленных на устранение уязвимостей в продуктах и сервисах, используемых миллионами пользователей по всему миру.
Компания Microsoft выпустила обновления, устраняющие сразу 59 критических недостатков, среди которых шесть активно эксплуатируемых нулевых дней (zero-day). Эти уязвимости затрагивали различные компоненты Windows и могли использоваться злоумышленниками для обхода механизмов защиты, повышения привилегий и организации атак типа отказ в обслуживании (Denial of Service).
Adobe обновила целый ряд популярных продуктов, включая Audition, After Effects, InDesign Desktop, Substance 3D, Bridge, Lightroom Classic и DNG SDK. Компания подтвердила отсутствие известных случаев атаки на выявленные недостатки.
Также компания SAP устранила две серьезные уязвимости, одна из которых связана с внедрением произвольного кода в системах SAP CRM и SAP S/4HANA (CVE-2026-0488, оценка CVSS: 9.9). Эта ошибка позволяла аутентифицированному злоумышленнику исполнить любое SQL-выражение, приводящее к полному захвату базы данных. Вторая критическая проблема (CVE-2026-0509, CVSS: 9.6) возникла вследствие отсутствия проверок полномочий в сервере приложений SAP NetWeaver ABAP и платформе ABAP, давая возможность малопривилегированным пользователям выполнять некоторые фоновые вызовы функций без соответствующих разрешений.
Отдельно стоит отметить совместную инициативу Intel и Google по исследованию модулей расширения доверительных доменов Intel Trust Domain Extensions (TDX) версии 1.5. Специалисты обнаружили пять уязвимостей (CVE-2025-32007, CVE-2025-27940, CVE-2025-30513, CVE-2025-27572, CVE-2025-32467) и ещё около трёх десятков слабых мест, улучшений и предложений по повышению безопасности решений конфиденциальных вычислений.
Кроме указанных компаний, множество других крупных поставщиков выпустили обновления для устранения багов и улучшения защищённости своих платформ, среди них ABB, Amazon Web Services, AMD, AMI, Apple, ASUS, AutomationDirect, AVEVA, Broadcom, Canon, Check Point, Cisco, Citrix, Commvault, ConnectWise, D-Link, Dassault Systèmes, Dell, Devolutions, dormakaba, Drupal, F5, Fortinet, Foxit Software, FUJIFILM, Fujitsu, Gigabyte, GitLab, Google Android и Pixel, Google Chrome, Google Cloud, Grafana, Hikvision, Hitachi Energy, HP, HP Enterprise, IBM, Intel, Ivanti, Lenovo, Linux-дистрибутивы (AlmaLinux, Alpine Linux, Amazon Linux, Arch Linux, Debian, Gentoo, Oracle Linux, Mageia, Red Hat, Rocky Linux, SUSE, Ubuntu), MediaTek, Mitsubishi Electric, MongoDB, Moxa, Mozilla Firefox и Thunderbird, n8n, NVIDIA, Phoenix Contact, QNAP, Qualcomm, Ricoh, Rockwell Automation, Samsung, Schneider Electric, ServiceNow, Siemens, SolarWinds, Splunk, Spring Framework, Supermicro, Synology, TP-Link, WatchGuard, Zoho ManageEngine, Zoom и Zyxel.
Эти масштабные усилия показывают серьёзность отношения индустрии к обеспечению информационной безопасности и готовности оперативно реагировать на возникающие угрозы.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь
Notepad++ — популярный текстовый редактор с открытым исходным кодом — оказался в центре масштабной кибератаки. Злоумышленники, предположительно поддерживаемые государством, взломали механизм обновлений программы, чтобы распространять вредоносное ПО среди целевых пользователей.
Исследователи в области кибербезопасности обнародовали детали принципиально новой методики атаки — Reprompt. Она позволяет злоумышленникам извлекать конфиденциальные данные из ИИ‑чат‑ботов (в частности, из Microsoft Copilot) буквально в один клик, полностью обходя корпоративные системы защиты.
Корпорация Microsoft завершила поддержку активации своих операционных систем и другого программного обеспечения по телефону. Отныне лицензия может быть зарегистрирована исключительно через глобальную сеть Интернет, положив конец длительному процессу телефонной активации, впервые введённому с появлением Windows XP.