Microsoft цього місяця виправила понад 100 вразливостей у Windows та Office

Під час «вівторка патчів» Microsoft традиційно випускає оновлення безпеки для всіх продуктів і послуг компанії. Зокрема, нещодавно було виправлено 107 нових вразливостей безпеки.

Microsoft класифікує кілька вразливостей у Windows і Office як критичні, але також зазначає, що жодна з цих вразливостей наразі не використовується зловмисниками.

Наступний «вівторок виправлень» буде 9 вересня 2025 року.

Велика кількість вразливостей — цього разу 67 — поширена на різні версії Windows, для яких Microsoft все ще пропонує оновлення безпеки, а саме Windows 10, Windows 11 та Windows Server.

Користувачі Windows 7 і Windows 8.1 вже досить давно не отримують оновлень безпеки, тому залишаються вразливими.

Microsoft визначила CVE-2025-53766, вразливість віддаленого виконання коду (RCE) в API графічного інтерфейсу пристроїв для графічних додатків, а також CVE-2025-50165, іншу вразливість RCE, але в графічному компоненті Windows, як критичні. Достатньо відвідати спеціально підготовлений вебсайт, щоб ввести та виконати довільний код без взаємодії з користувачем. У випадку останньої вразливості зловмиснику достатньо створити зображення, яке буде вбудовано у вебсторінку.

Microsoft класифікувала три вразливості в Hyper-V як критичні. CVE-2025-48807 — це вразливість RCE, яка, якщо її використати, дає змогу виконувати код на хості з гостьової системи. CVE-2025-53781 — це витік даних, який дає змогу отримати доступ до конфіденційної інформації. CVE-2025-49707 — це вразливість підробки, яка дозволяє віртуальній машині підробляти іншу ідентичність під час спілкування із зовнішніми системами.

Microsoft виправила 12 вразливостей у службі маршрутизації та віддаленого доступу (RRAS), половина з яких є вразливостями RCE, а інша половина — витоками даних. Усі вони класифіковані як високоризикові.

Єдина раніше оприлюднена вразливість у цьому Patch Tuesday — це CVE-2025-53779 у Kerberos для Windows Server 2025. За певних умов зловмисник може отримати права адміністратора для доменів. Microsoft класифікує її як середній ризик.

Microsoft виправила 18 вразливостей у своїй лінійці продуктів Office, включаючи 16 вразливостей RCE. Чотири з цих вразливостей RCE позначені як критичні, оскільки вікно попереднього перегляду вважається вектором атаки. Це означає, що атака може відбутися через файл, який відображається в попередньому перегляді, навіть якщо користувач не натискає на нього і не відкриває його. Дві з цих вразливостей знаходяться в Word.

Microsoft класифікує інші вразливості Office як високого ризику. У цьому випадку користувач повинен відкрити підготовлений файл, щоб експлойт-код почав діяти.

Останнє оновлення безпеки для Edge 139.0.3405.86 було випущено 7 серпня і базується на Chromium 139.0.7258.67. Воно виправляє кілька вразливостей в базі Chromium.

Edge для Android 139.0.3405.86 є дещо новішим, і Microsoft випустила цю версію, щоб усунути дві специфічні для Edge вразливості.