Adobe и Microsoft закрыли 139 уязвимостей
3 мин
18
В январе Adobe выпустила 11 бюллетеней безопасности, закрывающих 25 уязвимостей. В их числе — бреши в Dreamweaver, InDesign, Illustrator, InCopy, Bridge и линейке Substance 3D, а также в ColdFusion. Патч для последнего исправляет одну дыру с выполнением кода и помечен приоритетом 1, хотя активных атак не зафиксировано. Dreamweaver получил сразу пять критических багов с выполнением кода. InDesign тоже пять CVE, но критических только четыре.
В Substance 3D Modeler — шесть фиксов, два из которых предотвращают произвольное выполнение кода. Substance 3D Stager, Painter, Bridge и InCopy — по одной критической бреши с выполнением кода в каждом. С патчем для Substance 3D Sampler наблюдается неопределённость. По одной информации, его выпустили в августе 2025 года, но обновили в январе 2026 года. Однако CVE датирован 2026 годом, что похоже на техническую ошибку.
Баг в Substance 3D Designer — одна утечка памяти уровня Important. В Illustrator закрыли один критический баг и один высокого уровня важности.
Ни одна из уязвимостей Adobe не эксплуатировалась и не была публично известна на момент релиза. Кроме фикса для ColdFusion, все обновления получили приоритет развёртывания 3.
В Microsoft исправили 112 уязвимостей. Они затрагивают компоненты от Office до Windows Management Services. Если учитывать сторонние обновления, например Chromium (Edge for Chromium), перечисленные в релизе, получается 114 CVE. Расскажем о наиболее значимых из списка. Компания сообщает об одной активно эксплуатируемой уязвимости и двух публично известных на момент релиза.
CVE-2026-20805 (CVSS 5,5 балла из 10 по шкале оценки уязвимостей) — уязвимость в Desktop Window Manager с активной эксплуатацией. Баг позволяет получить адрес секции из удалённого порта ALPC. CVE-2026-21265 CVSS 6.4 — истечение сертификата Secure Boot. Вероятность эксплуатации низкая. При этом вероятность того, что про CVE забудут и устройства останутся без патчей, — высокая.
CVE-2026-20952 (CVSS 8,4 балла из 10 по шкале оценки уязвимостей) и CVE-2026-20953 (CVSS 8,4 балла из 10 по шкале оценки уязвимостей) — уязвимости в Microsoft Office с возможной эксплуатацией через Preview Pane. Пока эксплуатации нет, но таких багов накапливается всё больше. Вопрос времени, когда атакующие найдут способ их использовать.
CVE-2026-20876 (CVSS 6,7 балла из 10 по шкале оценки уязвимостей) — повышение привилегий в Windows Virtualization-Based Security Enclave. VBS — новая фича безопасности в Windows, Virtual Trust Levels служат уровнями привилегий. VTL2 сейчас самый привилегированный, и этот баг даёт эскалацию до VTL2. Microsoft не уточняет, нужен ли VTL0 или VTL1 для эксплуатации. Microsoft оценила уязвимость в CVSS 6,7.
