Июньский Patch Tuesday: 206 обновлений Microsoft, три публично раскрытые уязвимости и приоритет для Remote Desktop — ИИ для бизнеса

Июньский Patch Tuesday: 206 обновлений Microsoft, три публично раскрытые уязвимости и приоритет для Remote Desktop

Прослушать статью

Ежемесячное обновление Microsoft принесло 206 исправлений для Windows, Office и Exchange Server, а также три уязвимости нулевого дня.

На этой неделе Microsoft выпустила 206 обновлений для Windows, Office, Exchange Server и своих инструментов для разработчиков — включая три уже публично раскрытые уязвимости Windows. В эту тройку входят повышение привилегий в Collaborative Translation Framework (CVE-2026-45586), отказ в обслуживании в HTTP.sys (CVE-2026-49160) и обход защиты BitLocker (CVE-2026-50507). На данный момент признаков активной эксплуатации нет, но все три оценены как «Exploitation More Likely».

Даже без эксплуатируемого zero-day релиз June 2026 Patch Tuesday требует статуса Patch Now для Windows, Office и Exchange. Последний снова вернулся в повестку обновлений: Microsoft рекомендует установить консолидированное обновление безопасности «как можно скорее».

Команда Readiness советует начинать тестирование с контроллеров домена, хостов Hyper-V, всего, что использует HTTP.sys, и рабочих станций с интенсивной работой в Outlook — именно в таком порядке. Чтобы проще ориентироваться в изменениях, ниже приведена полезная инфографика с рисками внедрения обновлений для каждой платформы.

(Дополнительная информация о последних выпусках Patch Tuesday доступна здесь.)

Известные проблемы

В примечаниях Microsoft к июньскому релизу отмечены известные проблемы с тремя обновлениями:

  • KB5094128 — запрос ключа восстановления BitLocker при первой перезагрузке (Windows Server 2022). Условие PCR7, за которым мы следим с апреля, по-прежнему актуально на платформах, не получивших майское исправление Boot Manager servicing fix. Устройства с включенным BitLocker на системном диске, политикой «Configure TPM platform validation profile for native UEFI firmware configurations» с включенным PCR7 и состоянием Secure Boot State PCR7 Binding как «Not Possible» могут запросить ключ восстановления при первой перезагрузке после установки этого обновления.
  • KB5094127 — Windows 10 21H2/22H2. В примечаниях к выпуску также отмечена известная проблема: Windows 10 находится в той же ситуации, что и Server 2022, поскольку для нее не было получено улучшение Boot Manager servicing, которое закрыло условие восстановления BitLocker/PCR7 в Windows 11. Поэтому именно ту же конфигурацию групповой политики нужно проверить перед развертыванием.
  • KB5094125 / KB5094128 — скрыты детали ошибок синхронизации WSUS (Windows Server 2025 и 2022). WSUS больше не показывает детали ошибок синхронизации в отчетах. Это сделано намеренно: функция была «временно удалена для устранения уязвимости удаленного выполнения кода, CVE-2025-59287». Обходного решения Microsoft не предложила.

Одна рекомендация, действующая с мая, по-прежнему актуальна: Windows Update все еще может заменять вручную установленные графические драйверы более старыми OEM-версиями из каталога Windows Update.

Крупные правки и меры смягчения

В отличие от прошлого месяца, этот цикл обновлений принес две реальные правки и набор внеплановых исправлений, требующих действий:

  • Microsoft Teams Spoofing (CVE-2026-32185) — пересмотрено до версии 3.0 21 мая. Microsoft объявила о доступности обновления безопасности для Teams для Android; клиентам, у которых установлены затронутые версии, следует обновиться. Если ваш мобильный парк работает на Android, это обязательное действие.
  • Внеплановый кластер Microsoft Defender 19–21 мая — критическая уязвимость удаленного выполнения кода (CVE-2026-45584), а также повышение привилегий (CVE-2026-41091) и отказ в обслуживании (CVE-2026-45498).
  • SharePoint RCE (CVE-2026-45659) — отдельное внеплановое исправление, опубликованное также 21 мая. У администраторов SharePoint было три отдельных уведомления безопасности за две недели. Рекомендация: развернуть эти сгруппированные, но отдельные патчи как единый комплект.

Интересно, что из списка прошлого месяца пропали две позиции:

  • SharePoint Server RCE (CVE-2026-47294) — опубликовано 29 мая с пометкой, что уязвимость «была устранена обновлениями, выпущенными в мае 2026 года, но CVE был случайно пропущен в майских Security Updates».
  • Windows DWM Core Library Information Disclosure (CVE-2026-48566) — тоже исправлена в мае, но тоже не попала в майский список.

Это уже второй месяц подряд: список Patch Tuesday никогда не бывает окончательным. Сам июньский релиз тоже получил существенную правку:

  • Повторно выпущен кластер Remote Desktop для Windows 11 26H1 — пять CVE для RDP/RDS за 2024–2025 годы, включая две критические RCE (CVE-2024-49123, CVE-2024-49132) и RDP Server RCE (CVE-2024-43582). Если у вас используется 26H1, июньский cumulative закрывает эти старые CVE.

Обновления жизненного цикла Windows и принудительного внедрения

С учетом того, какой месяц пережил SharePoint, SharePoint 2016/2019 требуют одних из самых активных действий по патчингу в цикле на платформе, у которой остался один апдейт. Если миграция еще не началась, последний июльский апдейт — это крайний срок. Ниже приведены другие ключевые даты:

  • Сертификат 2011 KEK CA истекает 24 июня, а UEFI CA для сторонних загрузчиков — через три дня; затем в октябре наступает срок для Windows Production PCA для boot manager. Устройства, которые не получили обновления ключа Windows UEFI CA 2023 по CVE-2023-24932, потеряют возможность получать обновленные загрузочные компоненты после истечения сертификатов. Это очень важно.
  • До следующего Patch Tuesday осталась одна итерация: SharePoint Server 2016 и 2019, Project Server 2016 и 2019, SQL Server 2016 и SQL Server 2014 ESU Year 2 14 июля достигнут конца поддержки. Вместе с ними уходят InfoPath 2013, SharePoint Designer 2013 и Visual Studio 2022 17.12 LTSC.
  • Усиление Kerberos RC4 (CVE-2026-20833) в следующем месяце перейдет из режима default-hardening в фазу enforcement. У учетных записей, которые все еще зависят от RC4 service tickets, есть недели, а не месяцы.
  • Изменение таргетинга графических драйверов (переход с четырехчастных на двухчастные Hardware IDs) начнет пилотирование в сентябре 2026 года, а более широкое принудительное внедрение планируется с Q4 2026 по Q1 2027; до этого момента Windows Update все еще может понижать версию вручную установленных display drivers.

Релиз этого месяца — только про безопасность, с явным фокусом на Remote Desktop client. Remote Desktop ActiveX control (mstscax.dll) — самый патченный компонент цикла, на него приходится пять отдельных обновлений (см. ниже).

Второй по значимости темой является Windows authentication: три обновления затрагивают пакет NTLM security package. В этом месяце ни один двоичный файл Windows не заявляет о функциональных изменениях, так что работа сводится к регрессионной проверке. Менее рискованные патчи затрагивают DHCP, telephony, Hyper-V, UDF и Projected File System storage, а также графический стек.

Remote Desktop client

Remote Desktop client (mstscax.dll) помечен как высокорисковый именно в части printer redirection — механизма, который сопоставляет локальные принтеры клиента с удаленной сессией. Регрессия здесь обычно проявляется как отсутствие перенаправленных принтеров, сбой печати или зависание при подключении или переподключении. Более широкий стек Remote Desktop тоже обновлен, включая RemoteApp и перенаправление буфера обмена (rdpclip.exe, RdpCoreTS.dll), а также Remote Desktop Licensing (lserver.dll). Поэтому обязательно проверяйте вместе подключение, сеанс и лицензирование.

Успешная проверка — это удаленная сессия, которая подключается, перенаправляет принтеры, печатает и переживает переподключение без сбоев и пропавших устройств.

  • Подключитесь с помощью Remote Desktop Connection (mstsc.exe) к тестовому хосту, включите printer redirection в Local Resources и убедитесь, что перенаправленные принтеры появились в сеансе.
  • Распечатайте тестовую страницу из приложения в сеансе на перенаправленный принтер; повторите проверку с двумя и более клиентскими принтерами.
  • Отключите и снова подключите сеанс, затем убедитесь, что перенаправленные принтеры по-прежнему доступны и работают.
  • Повторите тест печати как в полном desktop-сеансе, так и в RemoteApp-сеансе.
  • Проверьте общий удаленный доступ: подключение через Remote Desktop Gateway, использование VMConnect для доступа к VM и проверку перенаправления буфера обмена и устройств.
  • На сервере Remote Desktop Licensing убедитесь, что клиенты подключаются с включенным лицензированием в режимах Per User и Per Device.

Windows authentication (NTLM)

Три обновления затрагивают NTLM security support provider (msv1_0.dll) — модуль, отвечающий за сетевую аутентификацию, когда Kerberos не используется. Изменения в аутентификации чувствительны к регрессиям: возможны сбои входа, нарушение доступа к файловым шарам или RDP, а также проблемы со входом в приложения. Проверяйте и доменные, и рабочие машины.

  • Войдите на доменные и автономные машины с доменными, локальными и кэшированными учетными данными после перезагрузки.
  • Получите доступ к SMB file shares по имени хоста и IP-адресу, включая пути, которые откатываются на NTLM, и убедитесь в корректности чтения и записи с аутентификацией.
  • Аутентифицируйтесь на Remote Desktop host и в line-of-business приложениях, использующих integrated Windows authentication.
  • Следите за Security event log на предмет новых ошибок входа или аномалий аудита в течение окна тестирования.

Другие компоненты Windows

Остальные обновления не несут функциональных изменений, поэтому покрывайте их обычной регрессией по направлениям.

  • Сеть: проверьте получение, обновление и освобождение DHCP lease на IPv4 и IPv6 (dhcpcore), устойчивый поток сокетов через WinSock driver (afd.sys, два обновления), обработку запросов HTTP.sys под IIS и интеграции телефонии TAPI (tapisrv.dll).
  • Виртуализация: загрузите VM Generation 1 и Generation 2, включая nested virtualization, чтобы покрыть Hyper-V hypervisor (hvix64/hvax64), и подключите VM через external virtual switch с переключением NIC RSS, чтобы покрыть vmswitch.sys.
  • Хранилища и файловые системы: читайте и записывайте UDF-formatted media (udfs.sys), проверьте minifilter Projected File System (prjflt.sys), а также hydration облачных файлов и синхронизацию Work Folders (cldflt.sys, workfolders.exe), включая том ReFS с включенным BitLocker.
  • Графика и shell: прогоните GPU-accelerated и 2D rendering workloads, чтобы покрыть Direct2D (d2d1.dll), GDI+ (gdiplus.dll), Desktop Window Manager (dwmcore.dll), Windows Imaging Component (windowscodecs.dll) и UI Automation (UiaManager.dll); следите за артефактами и регрессиями доступности.
  • Уведомления и ввод: откройте приложения, которые создают toast и push notifications (wpnapps.dll, wpncore.dll), и проверьте ввод через Text Services Framework для разных раскладок клавиатуры и IME (msctf.dll).

Microsoft Office и SharePoint

Office-обновления июня — это только MSI-редакции: Excel 2016 (KB5002877), Word 2016 (KB5002879), общие компоненты Office 2016 (KB5002878, KB5002852 и rich-edit control KB5002578), а также Office Online Server 2019 (KB5002875). Общие обновления компонентов Office 2016 также применимы к базовым версиям SharePoint Server 2016, 2019 и Subscription Edition. Критических non-security client release в этом цикле нет, а среды Click-to-Run не затронуты.

  • Открывайте сложные книги Excel с формулами, макросами и внешними источниками данных; сохраняйте и открывайте снова, чтобы проверить целостность.
  • Редактируйте документы Word со встроенными объектами, отслеживанием изменений и сложным форматированием, которое использует rich-edit control.
  • На базовых версиях SharePoint Server (2016, 2019, Subscription Edition) и Office Online Server проверьте работу библиотек документов, совместное редактирование и просмотр/редактирование в браузере.
  • Убедитесь, что надстройки Office и интеграции line-of-business продолжают работать.

Инструменты для разработчиков и базы данных

Июньские исправления обновляют .NET SDK в ветках обслуживания 8.0, 9.0 и 10.0 (8.0.422, 9.0.315, 10.0.301), а также выпускают GDR security updates для SQL Server, охватывающие SQL Server 2016 SP3 по SQL Server 2025, как для веток RTM+GDR, так и cumulative-update+GDR.

  • После установки обновления .NET SDK соберите и запустите репрезентативные приложения и убедитесь, что существующие проекты компилируются и выполняются нормально.
  • Для SQL Server установите GDR-обновление на соответствующую базовую ветку или ветку cumulative-update, затем перезапустите службу и выполните стандартные транзакции.
  • Проверьте резервное копирование и восстановление, убедитесь, что Always On availability groups работают стабильно, и протестируйте установку и удаление патча в каждой ветке обслуживания.

Команда Readiness советует в этом месяце начинать тестирование с Remote Desktop. Клиент — и самый патченный компонент, и единственный элемент с пометкой High Risk, поэтому дайте ему отдельную регрессионную проверку с упором на printer redirection, а затем расширьте тесты на общую связность, RemoteApp, перенаправление буфера обмена и устройств, доступ через gateway и лицензирование.

Обновления NTLM-аутентификации — второй приоритет: проверяйте доменный и автономный вход, доступ к файловым шарам и вход в приложения. Все остальное — это security update без функциональных изменений, поэтому сетевой стек, Hyper-V, хранилища и графику достаточно покрыть обычной регрессией. Office обновляется только через MSI, Click-to-Run не затронут, а обновления .NET и SQL Server завершают контур для разработчиков и баз данных.

Каждый месяц мы разбиваем цикл обновлений по продуктовым семействам (как их определяет Microsoft) на такие базовые группы:

Браузеры

Microsoft Edge выпустил стабильную версию 149.0.4022.52 4 июня, согласно заметкам о безопасности Edge. Для Internet Explorer ничего не выпускается: он уже выведен из эксплуатации. Этот цикл необычно перекошен: только одна уязвимость, созданная для Edge, на фоне очень большого потока Chromium upstream:

  • CVE-2026-47644 — Copilot Chat (Microsoft Edge) — утечка информации (CVSS 6.5, критический рейтинг). Второй месяц подряд Copilot Chat в Edge поставляет главную браузерную проблему (в мае это была CVE-2026-33111); Microsoft исправляет компонент сервиса Copilot, а обновление браузера завершает фикc.
  • Chromium upstream — 407 CVE, переданных через MSRC в этом цикле, охватывающих еженедельный ритм выпуска Chrome с майского отчета: use-after-free, out-of-bounds read/write, type confusion и policy bypass в V8, Blink, PDFium, WebRTC, ANGLE и DevTools. Те же исправления выходят в канале Chrome Stable; upstream-заметки доступны в блоге релизов Chrome.

Объем Chromium выглядит пугающе, но это обычная инфраструктурная работа — она попадает в Edge через собственный канал автообновления. Добавьте эти обновления в стандартный график релизов для сред, управляемых Edge.

Windows

В этом месяце Microsoft устранила 119 уязвимостей в Windows, из них 22 критические и 97 важных — почти вдвое больше, чем в мае. По объему снова лидирует повышение привилегий (49 записей), затем идут удаленное выполнение кода (28), утечка информации (16), обход функций безопасности (15), отказ в обслуживании (6) и несколько записей о spoofing и tampering. Все три публично раскрытые zero-day этого месяца относятся сюда:

  • CVE-2026-45586 — Collaborative Translation Framework (CTFMON) — повышение привилегий (CVSS 7.8, публично раскрыта).
  • CVE-2026-49160 — HTTP.sys — отказ в обслуживании (CVSS 7.5, публично раскрыта).
  • CVE-2026-50507 — BitLocker — обход функции безопасности (CVSS 6.8, публично раскрыта) — третья запись BitLocker в этом месяце, что удерживает ее в фокусе вместе с известной проблемой PCR7.

На уровне функций критические риски сосредоточены в девяти областях:

  • Remote Desktop Client — крупнейший отдельный кластер: 11 CVE, 7 критических, во главе с CVE-2026-47289 и CVE-2026-42985 (обе CVSS 8.8, последняя — «Exploitation More Likely»).
  • Windows Kernel — CVE-2026-45657, удаленное выполнение кода с CVSS 9.8, совместно высший балл для Windows в этом цикле.
  • HTTP.sys — CVE-2026-47291, неаутентифицированное удаленное выполнение кода (CVSS 9.8, «Exploitation More Likely») в kernel-mode веб-сервере, который лежит в основе IIS, WinRM и всего, что использует http.sys; в паре с раскрытым выше DoS.
  • DHCP Client — CVE-2026-44815, удаленное выполнение кода с CVSS 9.8.
  • Active Directory Domain Services — CVE-2026-45648, удаленное выполнение кода (CVSS 8.8) в самом каталоге, а Kerberos KDC добавляет отдельную критическую RCE (CVE-2026-47288).
  • Hyper-V — три критические RCE (CVE-2026-45607, CVE-2026-45641, CVE-2026-47652, до CVSS 8.4) — риск перехода с гостевой системы на хост в средах виртуализации.
  • Windows Graphics Component — две критические RCE (CVE-2026-44803, CVE-2026-44812, CVSS 7.8), обе с пометкой «Exploitation More Likely» и достижимые через пути рендеринга Office.
  • Windows Deployment Services — CVE-2026-42987, удаленное выполнение кода (CVSS 8.1).
  • Cryptographic Services и Device Health Attestation — критические записи о повышении привилегий (CVE-2026-44810, CVSS 8.4; CVE-2026-33828, CVSS 7.8) в компонентах trust-anchor.

С учетом публично раскрытых уязвимостей в этом месяце добавьте это обновление Windows в свой график Patch Now.

Office

В этом месяце Microsoft выпустила 53 CVE для Office — 10 критических и 43 важных. Снова лидирует удаленное выполнение кода (24 записи), но неожиданностью стал spoofing: 20 записей, почти все в SharePoint. (SharePoint Server присутствует в 30 из 53 CVE этого цикла.) Остальное распределилось между утечкой информации (6), повышением привилегий (2) и обходом функции безопасности.

  • Microsoft устранила семь критических записей о удаленном выполнении кода, каждая с CVSS 8.4 и подтвержденным вектором атаки через Preview Pane: CVE-2026-45456, CVE-2026-45458 и CVE-2026-47635 для Outlook и Word, а также CVE-2026-45461, CVE-2026-45463, CVE-2026-45472 и CVE-2026-45474 для Office в целом.

Добавьте эти обновления Office в свое развертывание Patch Now, уделяя приоритет Outlook-heavy рабочим станциям и SharePoint farms.

Microsoft Exchange и SQL Server

Картина меняется по сравнению с маем: SQL Server не получает ничего вообще, тогда как Exchange Server — отсутствовавший в мае — возвращается с консолидированным обновлением безопасности, включающим семь CVE для on-premises-сборок (Exchange Server 2016 CU23 и Exchange Server 2019), плюс одну критическую облачную запись:

  • CVE-2026-45504 — Exchange Server — повышение привилегий (CVSS 8.8). Главная on-premises запись.
  • CVE-2026-45503 и CVE-2026-47631 — Exchange Server — утечка информации и spoofing, обе с CVSS 8.1.
  • CVE-2026-45583 — Exchange Server — удаленное выполнение кода (CVSS 7.5), а еще три записи о spoofing/утечке информации (CVE-2026-45500, CVE-2026-45501, CVE-2026-45502) дополняют набор.
  • CVE-2026-48579 — Exchange Online — утечка информации (CVSS 9.1, критический рейтинг) — устранено на стороне сервиса, действий клиента не требуется.

Microsoft также пересмотрела майскую запись Exchange о spoofing (CVE-2026-42897), чтобы указать на это же июньское обновление безопасности, с рекомендацией установить его «как можно скорее». Добавьте июньское Exchange SU в свой график Patch Now.

Инструменты для разработчиков

В этом месяце Microsoft выпустила 10 CVE по своим инструментам разработки, все со статусом important — хотя максимальный балл превосходит большинство критических уязвимостей этого цикла, а концентрация в Visual Studio Code (семь из десяти записей) продолжает прошлый шаблон:

  • Visual Studio Code — семь записей во главе с CVE-2026-47281, повышением привилегий с CVSS 9.6 — самым высоким баллом для developer tools за последние месяцы. Далее идут CVE-2026-45482, обход функции безопасности в расширении GitHub Copilot Chat (CVSS 8.4); CVE-2026-47292, удаленное выполнение кода в расширении MSSQL (CVSS 7.8); второе повышение привилегий (CVE-2026-40376, CVSS 7.5); а также записи об обходе функции безопасности, tampering и утечке информации (CVE-2026-48569, CVE-2026-47287, CVE-2026-47284).
  • Microsoft .NET on Windows имеет три записи: CVE-2026-45490, повышение привилегий в .NET SDK (CVSS 7.8) для .NET 8.0, 9.0 и 10.0; CVE-2026-45591, отказ в обслуживании в ASP.NET Core (CVSS 7.5); и CVE-2026-45491, проблема tampering в .NET (CVSS 6.2).

Добавьте эти обновления Microsoft в стандартный план релизов для developer updates.

Adobe и сторонние обновления

В этом цикле Adobe выпустила APSB26-63 для Acrobat и Reader, устранив критические уязвимости code execution; Adobe сообщает, что эксплуатации в реальных атаках не наблюдалось. Добавьте его в стандартный график сторонних обновлений. В этом месяце это большое обновление Windows (и да, я думаю, что ИИ имеет отношение к числу этих патчей).

Удачи с развертыванием.


Материал — перевод статьи с английского.

Оригинал: For June, Patch Tuesday means an IT scramble