107 уязвимостей? Пфф, для Windows это просто августовский Patch Tuesday

Microsoft Windows Kerberos Patch Tuesday уязвимости обновления безопасность
107 уязвимостей? Пфф, для Windows это просто августовский Patch Tuesday
Microsoft Windows Kerberos Patch Tuesday уязвимости обновления безопасность

Patch Tuesday — когда у Windows день стирки, а белья слишком много.

image

В августовском Patch Tuesday Microsoft выпустила пакет обновлений безопасности, устраняющий 107 уязвимостей в своих продуктах. Среди них — одна уязвимость нулевого дня , уже раскрытая публично: CVE-2025-53779 , позволяющая повысить привилегии через уязвимость в Windows Kerberos. Кроме того, в числе закрытых багов — 13 критических, включая RCE, утечки данных и повышение привилегий.

По категориям угроз в этом месяце ситуация следующая:

  • 44 уязвимости связаны с повышением привилегий;
  • 35 — с удалённым выполнением кода;
  • 18 — с раскрытием информации;
  • 4 — с отказом в обслуживании
  • и ещё 9 относятся к спуфингу.
Сюда не входят уязвимости в Azure, Mariner и Microsoft Edge, которые были закрыты ранее в августе вне рамок Patch Tuesday.

Главной угрозой августа стала уязвимость CVE-2025-53779 в Windows Kerberos. По данным Microsoft, она позволяет аутентифицированному атакующему получить права администратора домена за счёт небезопасной обработки относительных путей. Эксплуатация возможна при наличии доступа к атрибутам msds-groupMSAMembership и msds-ManagedAccountPrecededByLink, отвечающим за управление dMSA-аккаунтами.

Microsoft также подтвердила устранение критических уязвимостей в компонентах DirectX, Hyper-V, Microsoft Office, Exchange Server, SQL Server, Windows NTLM и MSMQ. К примеру, в Office сразу несколько уязвимостей позволяют запуск удалённого кода при открытии специально сформированных документов Excel, Word, Visio и PowerPoint.

На фоне обновлений Microsoft другие вендоры также опубликовали патчи в июле и августе. Среди них:

  • 7-Zipустранение path traversal, потенциально ведущей к RCE;
  • Adobe — экстренные патчи для AEM Forms после публикации PoC-эксплойтов;
  • Ciscoобновления для WebEx и Identity Services Engine;
  • Fortinet — комплексные исправления в FortiOS, FortiManager, FortiSandbox и FortiProxy;
  • Google — патчи Android для двух [ 1 , 2 ] эксплуатируемых уязвимостей в Qualcomm;
  • Microsoftисправление уязвимости Microsoft Exchange (CVE-2025-53786), которая может быть использована для взлома облачных сред.
  • Proton — устранение уязвимости в iOS-версии Authenticator, где TOTP-хеши сохранялись в открытом виде;
  • SAPиюльский пакет обновлений с уязвимостями рейтингом до 9.9;
  • Trend Microвременный fix tool для активно эксплуатируемой RCE в Apex One;
  • WinRARпатч для уязвимости path traversal, активно применявшегося в атаках.

Полный список CVE, устранённых в рамках августовского обновления, включает более 100 записей, охватывающих широкий спектр компонентов — от Windows Kernel и Hyper-V до Exchange, SharePoint и Windows Subsystem for Linux. Все подробности, включая оценки критичности и уязвимые версии, опубликованы на специальной странице.