Patch Tuesday устраняет 72 уязвимости, но zero-day уже гуляют по Сети — особенно опасен баг в ядре Windows
Пять из них уже успели сослужить хакерам хорошую службу.
Microsoft выпустила майское обновление безопасности Patch Tuesday, устранив 72 уязвимости в продуктах компании, включая пять эксплуатируемых в реальных атаках и две бреши нулевого дня (zero-day), ранее раскрытые публично. Среди устранённых уязвимостей: 28 связаны с удалённым выполнение кода (RCE), 17 — с повышением привилегий, 15 — с утечкой информации, семь — с отказом в обслуживании (DoS), две позволяют обходить защитные механизмы и две — подделывать данные. В этот список не включены уязвимости, ранее устранённые в Azure, Microsoft Edge и других продуктах.
Самая опасная уязвимость , активно использовавшаяся злоумышленниками, получила идентификатор CVE-2025-30400 . Она затрагивает библиотеку DWM Core в Windows и позволяет локальному пользователю с правами доступа получить системные привилегии за счёт ошибки use-after-free. Её обнаружили специалисты Microsoft Threat Intelligence Center.
Похожим образом действует CVE-2025-32701 в драйвере Windows Common Log File System, также давая атакующему доступ уровня SYSTEM. Microsoft приписывает её обнаружение своей же внутренней команде. Третья аналогичная уязвимость — CVE-2025-32706 — затрагивает тот же компонент, была выявлена исследователями из Google Threat Intelligence Group и CrowdStrike.
Кроме того, Microsoft устранила опасность, исходящую от CVE-2025-32709 в драйвере Ancillary Function Driver for WinSock. Здесь снова ошибка use-after-free, которую может использовать локальный атакующий. Имя исследователя, сообщившего об уязвимости, не раскрывается.
Пятая активно эксплуатируемая уязвимость ( CVE-2025-30397 ) относится к движку сценариев Microsoft и может использоваться через браузеры Edge или Internet Explorer. Проблема заключается в типовой ошибке обращения к ресурсу, что позволяет удалённому атакующему выполнить произвольный код, если пользователь перейдёт по специально подготовленной ссылке.
Из числа нулевых дней, раскрытых до выхода обновления, стоит выделить CVE-2025-26685 . Эта уязвимость в Microsoft Defender for Identity позволяет злоумышленнику подменить учётную запись, если у него есть доступ к локальной сети. Об ошибке сообщил сотрудник компании NetSPI.
Вторая публично известная уязвимость — CVE-2025-32702 — затрагивает Visual Studio и связана с возможностью внедрения команд (Command Injection). Она даёт злоумышленнику, не имеющему авторизации, возможность выполнить произвольный код локально.
В совокупности с майским обновлением Microsoft опубликовала подробности по десяткам уязвимостей в Visual Studio, Office, Azure, SharePoint, Windows Media, Hyper-V и многих других компонентах экосистемы. Полный список CVE и затронутых продуктов доступен по этой ссылке .