Июньский Patch Tuesday: 206 обновлений Microsoft, три публично раскрытые уязвимости и приоритет для Remote Desktop
Ежемесячное обновление Microsoft принесло 206 исправлений для Windows, Office и Exchange Server, а также три уязвимости нулевого дня.
На этой неделе Microsoft выпустила 206 обновлений для Windows, Office, Exchange Server и своих инструментов для разработчиков — включая три уже публично раскрытые уязвимости Windows. В эту тройку входят повышение привилегий в Collaborative Translation Framework (CVE-2026-45586), отказ в обслуживании в HTTP.sys (CVE-2026-49160) и обход защиты BitLocker (CVE-2026-50507). На данный момент признаков активной эксплуатации нет, но все три оценены как «Exploitation More Likely».
Даже без эксплуатируемого zero-day релиз June 2026 Patch Tuesday требует статуса Patch Now для Windows, Office и Exchange. Последний снова вернулся в повестку обновлений: Microsoft рекомендует установить консолидированное обновление безопасности «как можно скорее».
Команда Readiness советует начинать тестирование с контроллеров домена, хостов Hyper-V, всего, что использует HTTP.sys, и рабочих станций с интенсивной работой в Outlook — именно в таком порядке. Чтобы проще ориентироваться в изменениях, ниже приведена полезная инфографика с рисками внедрения обновлений для каждой платформы.
(Дополнительная информация о последних выпусках Patch Tuesday доступна здесь.)
Известные проблемы
В примечаниях Microsoft к июньскому релизу отмечены известные проблемы с тремя обновлениями:
- KB5094128 — запрос ключа восстановления BitLocker при первой перезагрузке (Windows Server 2022). Условие PCR7, за которым мы следим с апреля, по-прежнему актуально на платформах, не получивших майское исправление Boot Manager servicing fix. Устройства с включенным BitLocker на системном диске, политикой «Configure TPM platform validation profile for native UEFI firmware configurations» с включенным PCR7 и состоянием Secure Boot State PCR7 Binding как «Not Possible» могут запросить ключ восстановления при первой перезагрузке после установки этого обновления.
- KB5094127 — Windows 10 21H2/22H2. В примечаниях к выпуску также отмечена известная проблема: Windows 10 находится в той же ситуации, что и Server 2022, поскольку для нее не было получено улучшение Boot Manager servicing, которое закрыло условие восстановления BitLocker/PCR7 в Windows 11. Поэтому именно ту же конфигурацию групповой политики нужно проверить перед развертыванием.
- KB5094125 / KB5094128 — скрыты детали ошибок синхронизации WSUS (Windows Server 2025 и 2022). WSUS больше не показывает детали ошибок синхронизации в отчетах. Это сделано намеренно: функция была «временно удалена для устранения уязвимости удаленного выполнения кода, CVE-2025-59287». Обходного решения Microsoft не предложила.
Одна рекомендация, действующая с мая, по-прежнему актуальна: Windows Update все еще может заменять вручную установленные графические драйверы более старыми OEM-версиями из каталога Windows Update.
Крупные правки и меры смягчения
В отличие от прошлого месяца, этот цикл обновлений принес две реальные правки и набор внеплановых исправлений, требующих действий:
- Microsoft Teams Spoofing (CVE-2026-32185) — пересмотрено до версии 3.0 21 мая. Microsoft объявила о доступности обновления безопасности для Teams для Android; клиентам, у которых установлены затронутые версии, следует обновиться. Если ваш мобильный парк работает на Android, это обязательное действие.
- Внеплановый кластер Microsoft Defender 19–21 мая — критическая уязвимость удаленного выполнения кода (CVE-2026-45584), а также повышение привилегий (CVE-2026-41091) и отказ в обслуживании (CVE-2026-45498).
- SharePoint RCE (CVE-2026-45659) — отдельное внеплановое исправление, опубликованное также 21 мая. У администраторов SharePoint было три отдельных уведомления безопасности за две недели. Рекомендация: развернуть эти сгруппированные, но отдельные патчи как единый комплект.
Интересно, что из списка прошлого месяца пропали две позиции:
- SharePoint Server RCE (CVE-2026-47294) — опубликовано 29 мая с пометкой, что уязвимость «была устранена обновлениями, выпущенными в мае 2026 года, но CVE был случайно пропущен в майских Security Updates».
- Windows DWM Core Library Information Disclosure (CVE-2026-48566) — тоже исправлена в мае, но тоже не попала в майский список.
Это уже второй месяц подряд: список Patch Tuesday никогда не бывает окончательным. Сам июньский релиз тоже получил существенную правку:
- Повторно выпущен кластер Remote Desktop для Windows 11 26H1 — пять CVE для RDP/RDS за 2024–2025 годы, включая две критические RCE (CVE-2024-49123, CVE-2024-49132) и RDP Server RCE (CVE-2024-43582). Если у вас используется 26H1, июньский cumulative закрывает эти старые CVE.
Обновления жизненного цикла Windows и принудительного внедрения
С учетом того, какой месяц пережил SharePoint, SharePoint 2016/2019 требуют одних из самых активных действий по патчингу в цикле на платформе, у которой остался один апдейт. Если миграция еще не началась, последний июльский апдейт — это крайний срок. Ниже приведены другие ключевые даты:
- Сертификат 2011 KEK CA истекает 24 июня, а UEFI CA для сторонних загрузчиков — через три дня; затем в октябре наступает срок для Windows Production PCA для boot manager. Устройства, которые не получили обновления ключа Windows UEFI CA 2023 по CVE-2023-24932, потеряют возможность получать обновленные загрузочные компоненты после истечения сертификатов. Это очень важно.
- До следующего Patch Tuesday осталась одна итерация: SharePoint Server 2016 и 2019, Project Server 2016 и 2019, SQL Server 2016 и SQL Server 2014 ESU Year 2 14 июля достигнут конца поддержки. Вместе с ними уходят InfoPath 2013, SharePoint Designer 2013 и Visual Studio 2022 17.12 LTSC.
- Усиление Kerberos RC4 (CVE-2026-20833) в следующем месяце перейдет из режима default-hardening в фазу enforcement. У учетных записей, которые все еще зависят от RC4 service tickets, есть недели, а не месяцы.
- Изменение таргетинга графических драйверов (переход с четырехчастных на двухчастные Hardware IDs) начнет пилотирование в сентябре 2026 года, а более широкое принудительное внедрение планируется с Q4 2026 по Q1 2027; до этого момента Windows Update все еще может понижать версию вручную установленных display drivers.
Релиз этого месяца — только про безопасность, с явным фокусом на Remote Desktop client. Remote Desktop ActiveX control (mstscax.dll) — самый патченный компонент цикла, на него приходится пять отдельных обновлений (см. ниже).
Второй по значимости темой является Windows authentication: три обновления затрагивают пакет NTLM security package. В этом месяце ни один двоичный файл Windows не заявляет о функциональных изменениях, так что работа сводится к регрессионной проверке. Менее рискованные патчи затрагивают DHCP, telephony, Hyper-V, UDF и Projected File System storage, а также графический стек.
Remote Desktop client
Remote Desktop client (mstscax.dll) помечен как высокорисковый именно в части printer redirection — механизма, который сопоставляет локальные принтеры клиента с удаленной сессией. Регрессия здесь обычно проявляется как отсутствие перенаправленных принтеров, сбой печати или зависание при подключении или переподключении. Более широкий стек Remote Desktop тоже обновлен, включая RemoteApp и перенаправление буфера обмена (rdpclip.exe, RdpCoreTS.dll), а также Remote Desktop Licensing (lserver.dll). Поэтому обязательно проверяйте вместе подключение, сеанс и лицензирование.
Успешная проверка — это удаленная сессия, которая подключается, перенаправляет принтеры, печатает и переживает переподключение без сбоев и пропавших устройств.
- Подключитесь с помощью Remote Desktop Connection (mstsc.exe) к тестовому хосту, включите printer redirection в Local Resources и убедитесь, что перенаправленные принтеры появились в сеансе.
- Распечатайте тестовую страницу из приложения в сеансе на перенаправленный принтер; повторите проверку с двумя и более клиентскими принтерами.
- Отключите и снова подключите сеанс, затем убедитесь, что перенаправленные принтеры по-прежнему доступны и работают.
- Повторите тест печати как в полном desktop-сеансе, так и в RemoteApp-сеансе.
- Проверьте общий удаленный доступ: подключение через Remote Desktop Gateway, использование VMConnect для доступа к VM и проверку перенаправления буфера обмена и устройств.
- На сервере Remote Desktop Licensing убедитесь, что клиенты подключаются с включенным лицензированием в режимах Per User и Per Device.
Windows authentication (NTLM)
Три обновления затрагивают NTLM security support provider (msv1_0.dll) — модуль, отвечающий за сетевую аутентификацию, когда Kerberos не используется. Изменения в аутентификации чувствительны к регрессиям: возможны сбои входа, нарушение доступа к файловым шарам или RDP, а также проблемы со входом в приложения. Проверяйте и доменные, и рабочие машины.
- Войдите на доменные и автономные машины с доменными, локальными и кэшированными учетными данными после перезагрузки.
- Получите доступ к SMB file shares по имени хоста и IP-адресу, включая пути, которые откатываются на NTLM, и убедитесь в корректности чтения и записи с аутентификацией.
- Аутентифицируйтесь на Remote Desktop host и в line-of-business приложениях, использующих integrated Windows authentication.
- Следите за Security event log на предмет новых ошибок входа или аномалий аудита в течение окна тестирования.
Другие компоненты Windows
Остальные обновления не несут функциональных изменений, поэтому покрывайте их обычной регрессией по направлениям.
- Сеть: проверьте получение, обновление и освобождение DHCP lease на IPv4 и IPv6 (dhcpcore), устойчивый поток сокетов через WinSock driver (afd.sys, два обновления), обработку запросов HTTP.sys под IIS и интеграции телефонии TAPI (tapisrv.dll).
- Виртуализация: загрузите VM Generation 1 и Generation 2, включая nested virtualization, чтобы покрыть Hyper-V hypervisor (hvix64/hvax64), и подключите VM через external virtual switch с переключением NIC RSS, чтобы покрыть vmswitch.sys.
- Хранилища и файловые системы: читайте и записывайте UDF-formatted media (udfs.sys), проверьте minifilter Projected File System (prjflt.sys), а также hydration облачных файлов и синхронизацию Work Folders (cldflt.sys, workfolders.exe), включая том ReFS с включенным BitLocker.
- Графика и shell: прогоните GPU-accelerated и 2D rendering workloads, чтобы покрыть Direct2D (d2d1.dll), GDI+ (gdiplus.dll), Desktop Window Manager (dwmcore.dll), Windows Imaging Component (windowscodecs.dll) и UI Automation (UiaManager.dll); следите за артефактами и регрессиями доступности.
- Уведомления и ввод: откройте приложения, которые создают toast и push notifications (wpnapps.dll, wpncore.dll), и проверьте ввод через Text Services Framework для разных раскладок клавиатуры и IME (msctf.dll).
Microsoft Office и SharePoint
Office-обновления июня — это только MSI-редакции: Excel 2016 (KB5002877), Word 2016 (KB5002879), общие компоненты Office 2016 (KB5002878, KB5002852 и rich-edit control KB5002578), а также Office Online Server 2019 (KB5002875). Общие обновления компонентов Office 2016 также применимы к базовым версиям SharePoint Server 2016, 2019 и Subscription Edition. Критических non-security client release в этом цикле нет, а среды Click-to-Run не затронуты.
- Открывайте сложные книги Excel с формулами, макросами и внешними источниками данных; сохраняйте и открывайте снова, чтобы проверить целостность.
- Редактируйте документы Word со встроенными объектами, отслеживанием изменений и сложным форматированием, которое использует rich-edit control.
- На базовых версиях SharePoint Server (2016, 2019, Subscription Edition) и Office Online Server проверьте работу библиотек документов, совместное редактирование и просмотр/редактирование в браузере.
- Убедитесь, что надстройки Office и интеграции line-of-business продолжают работать.
Инструменты для разработчиков и базы данных
Июньские исправления обновляют .NET SDK в ветках обслуживания 8.0, 9.0 и 10.0 (8.0.422, 9.0.315, 10.0.301), а также выпускают GDR security updates для SQL Server, охватывающие SQL Server 2016 SP3 по SQL Server 2025, как для веток RTM+GDR, так и cumulative-update+GDR.
- После установки обновления .NET SDK соберите и запустите репрезентативные приложения и убедитесь, что существующие проекты компилируются и выполняются нормально.
- Для SQL Server установите GDR-обновление на соответствующую базовую ветку или ветку cumulative-update, затем перезапустите службу и выполните стандартные транзакции.
- Проверьте резервное копирование и восстановление, убедитесь, что Always On availability groups работают стабильно, и протестируйте установку и удаление патча в каждой ветке обслуживания.
Команда Readiness советует в этом месяце начинать тестирование с Remote Desktop. Клиент — и самый патченный компонент, и единственный элемент с пометкой High Risk, поэтому дайте ему отдельную регрессионную проверку с упором на printer redirection, а затем расширьте тесты на общую связность, RemoteApp, перенаправление буфера обмена и устройств, доступ через gateway и лицензирование.
Обновления NTLM-аутентификации — второй приоритет: проверяйте доменный и автономный вход, доступ к файловым шарам и вход в приложения. Все остальное — это security update без функциональных изменений, поэтому сетевой стек, Hyper-V, хранилища и графику достаточно покрыть обычной регрессией. Office обновляется только через MSI, Click-to-Run не затронут, а обновления .NET и SQL Server завершают контур для разработчиков и баз данных.
Каждый месяц мы разбиваем цикл обновлений по продуктовым семействам (как их определяет Microsoft) на такие базовые группы:
Браузеры
Microsoft Edge выпустил стабильную версию 149.0.4022.52 4 июня, согласно заметкам о безопасности Edge. Для Internet Explorer ничего не выпускается: он уже выведен из эксплуатации. Этот цикл необычно перекошен: только одна уязвимость, созданная для Edge, на фоне очень большого потока Chromium upstream:
- CVE-2026-47644 — Copilot Chat (Microsoft Edge) — утечка информации (CVSS 6.5, критический рейтинг). Второй месяц подряд Copilot Chat в Edge поставляет главную браузерную проблему (в мае это была CVE-2026-33111); Microsoft исправляет компонент сервиса Copilot, а обновление браузера завершает фикc.
- Chromium upstream — 407 CVE, переданных через MSRC в этом цикле, охватывающих еженедельный ритм выпуска Chrome с майского отчета: use-after-free, out-of-bounds read/write, type confusion и policy bypass в V8, Blink, PDFium, WebRTC, ANGLE и DevTools. Те же исправления выходят в канале Chrome Stable; upstream-заметки доступны в блоге релизов Chrome.
Объем Chromium выглядит пугающе, но это обычная инфраструктурная работа — она попадает в Edge через собственный канал автообновления. Добавьте эти обновления в стандартный график релизов для сред, управляемых Edge.
Windows
В этом месяце Microsoft устранила 119 уязвимостей в Windows, из них 22 критические и 97 важных — почти вдвое больше, чем в мае. По объему снова лидирует повышение привилегий (49 записей), затем идут удаленное выполнение кода (28), утечка информации (16), обход функций безопасности (15), отказ в обслуживании (6) и несколько записей о spoofing и tampering. Все три публично раскрытые zero-day этого месяца относятся сюда:
- CVE-2026-45586 — Collaborative Translation Framework (CTFMON) — повышение привилегий (CVSS 7.8, публично раскрыта).
- CVE-2026-49160 — HTTP.sys — отказ в обслуживании (CVSS 7.5, публично раскрыта).
- CVE-2026-50507 — BitLocker — обход функции безопасности (CVSS 6.8, публично раскрыта) — третья запись BitLocker в этом месяце, что удерживает ее в фокусе вместе с известной проблемой PCR7.
На уровне функций критические риски сосредоточены в девяти областях:
- Remote Desktop Client — крупнейший отдельный кластер: 11 CVE, 7 критических, во главе с CVE-2026-47289 и CVE-2026-42985 (обе CVSS 8.8, последняя — «Exploitation More Likely»).
- Windows Kernel — CVE-2026-45657, удаленное выполнение кода с CVSS 9.8, совместно высший балл для Windows в этом цикле.
- HTTP.sys — CVE-2026-47291, неаутентифицированное удаленное выполнение кода (CVSS 9.8, «Exploitation More Likely») в kernel-mode веб-сервере, который лежит в основе IIS, WinRM и всего, что использует http.sys; в паре с раскрытым выше DoS.
- DHCP Client — CVE-2026-44815, удаленное выполнение кода с CVSS 9.8.
- Active Directory Domain Services — CVE-2026-45648, удаленное выполнение кода (CVSS 8.8) в самом каталоге, а Kerberos KDC добавляет отдельную критическую RCE (CVE-2026-47288).
- Hyper-V — три критические RCE (CVE-2026-45607, CVE-2026-45641, CVE-2026-47652, до CVSS 8.4) — риск перехода с гостевой системы на хост в средах виртуализации.
- Windows Graphics Component — две критические RCE (CVE-2026-44803, CVE-2026-44812, CVSS 7.8), обе с пометкой «Exploitation More Likely» и достижимые через пути рендеринга Office.
- Windows Deployment Services — CVE-2026-42987, удаленное выполнение кода (CVSS 8.1).
- Cryptographic Services и Device Health Attestation — критические записи о повышении привилегий (CVE-2026-44810, CVSS 8.4; CVE-2026-33828, CVSS 7.8) в компонентах trust-anchor.
С учетом публично раскрытых уязвимостей в этом месяце добавьте это обновление Windows в свой график Patch Now.
Office
В этом месяце Microsoft выпустила 53 CVE для Office — 10 критических и 43 важных. Снова лидирует удаленное выполнение кода (24 записи), но неожиданностью стал spoofing: 20 записей, почти все в SharePoint. (SharePoint Server присутствует в 30 из 53 CVE этого цикла.) Остальное распределилось между утечкой информации (6), повышением привилегий (2) и обходом функции безопасности.
- Microsoft устранила семь критических записей о удаленном выполнении кода, каждая с CVSS 8.4 и подтвержденным вектором атаки через Preview Pane: CVE-2026-45456, CVE-2026-45458 и CVE-2026-47635 для Outlook и Word, а также CVE-2026-45461, CVE-2026-45463, CVE-2026-45472 и CVE-2026-45474 для Office в целом.
Добавьте эти обновления Office в свое развертывание Patch Now, уделяя приоритет Outlook-heavy рабочим станциям и SharePoint farms.
Microsoft Exchange и SQL Server
Картина меняется по сравнению с маем: SQL Server не получает ничего вообще, тогда как Exchange Server — отсутствовавший в мае — возвращается с консолидированным обновлением безопасности, включающим семь CVE для on-premises-сборок (Exchange Server 2016 CU23 и Exchange Server 2019), плюс одну критическую облачную запись:
- CVE-2026-45504 — Exchange Server — повышение привилегий (CVSS 8.8). Главная on-premises запись.
- CVE-2026-45503 и CVE-2026-47631 — Exchange Server — утечка информации и spoofing, обе с CVSS 8.1.
- CVE-2026-45583 — Exchange Server — удаленное выполнение кода (CVSS 7.5), а еще три записи о spoofing/утечке информации (CVE-2026-45500, CVE-2026-45501, CVE-2026-45502) дополняют набор.
- CVE-2026-48579 — Exchange Online — утечка информации (CVSS 9.1, критический рейтинг) — устранено на стороне сервиса, действий клиента не требуется.
Microsoft также пересмотрела майскую запись Exchange о spoofing (CVE-2026-42897), чтобы указать на это же июньское обновление безопасности, с рекомендацией установить его «как можно скорее». Добавьте июньское Exchange SU в свой график Patch Now.
Инструменты для разработчиков
В этом месяце Microsoft выпустила 10 CVE по своим инструментам разработки, все со статусом important — хотя максимальный балл превосходит большинство критических уязвимостей этого цикла, а концентрация в Visual Studio Code (семь из десяти записей) продолжает прошлый шаблон:
- Visual Studio Code — семь записей во главе с CVE-2026-47281, повышением привилегий с CVSS 9.6 — самым высоким баллом для developer tools за последние месяцы. Далее идут CVE-2026-45482, обход функции безопасности в расширении GitHub Copilot Chat (CVSS 8.4); CVE-2026-47292, удаленное выполнение кода в расширении MSSQL (CVSS 7.8); второе повышение привилегий (CVE-2026-40376, CVSS 7.5); а также записи об обходе функции безопасности, tampering и утечке информации (CVE-2026-48569, CVE-2026-47287, CVE-2026-47284).
- Microsoft .NET on Windows имеет три записи: CVE-2026-45490, повышение привилегий в .NET SDK (CVSS 7.8) для .NET 8.0, 9.0 и 10.0; CVE-2026-45591, отказ в обслуживании в ASP.NET Core (CVSS 7.5); и CVE-2026-45491, проблема tampering в .NET (CVSS 6.2).
Добавьте эти обновления Microsoft в стандартный план релизов для developer updates.
Adobe и сторонние обновления
В этом цикле Adobe выпустила APSB26-63 для Acrobat и Reader, устранив критические уязвимости code execution; Adobe сообщает, что эксплуатации в реальных атаках не наблюдалось. Добавьте его в стандартный график сторонних обновлений. В этом месяце это большое обновление Windows (и да, я думаю, что ИИ имеет отношение к числу этих патчей).
Удачи с развертыванием.
Материал — перевод статьи с английского.